专利名称:一种分布式安全存储系统的制作方法
技术领域:
本发明属于计算机存储技术领域,具体涉及一种分布式安全存储系统。
背景技术:
科学计算、空间探索、电子商务和多媒体应用对建立高性能海量信
息存储系统提出了需求,未来的存储系统其规模将达到PB级, 一些重要 的应用要求存储系统带宽达到1TB/S以上。PB级高性能存储系统具有成 百上千的存储设备,同时对大量用户提供并发和突发的服务,这些因素 和敏感数据的存在对实现PB级存储系统的安全提出了挑战。
最近几年对PB级存储系统的构建技术和安全机制进行了大量研究, 目前已经构建和正在使用的海量存储系统多由三个主要的组件组成应 用客户端、元数据服务器和存储设备,存储设备可以是附网存储设备 (Network-Attached Storage Device, NASD)或对象存储设备(Object Storage Device, OSD),存储设备直连到网络上,元数据和数据分离。 这种结构,被证明是构建PB级存储系统的一种有效的解决方案。
然而,这种设计导致存储设备上不再存储任何访问权限和授权信息, 这些信息通常存储在元数据服务器上,应用客户端在访问存储设备前必 须获得元数据服务器的授权,基于此架构的当前广泛应用的解决方案就 是基于证书的访问控制(CBAC, Credential-Based Access Control)模型。 CBAC模型要求应用客户端在访问存储设备前必须从元数据服务器获得 相应的权能证书,该权能证书赋予应用客户端访问存储设备上资源的权 限,并由元数据服务器和存储设备之间共享的秘密或由元数据服务器的 私钥签名保证权能证书不被非法用户伪造和篡改。存储设备收到应用客户端请求和相应的权能证书后,首先验证权能证书的有效性和是否存在 越权请求,验证通过则执行客户请求。
CBAC模型的特点导致其存在不可解决的缺陷(1)由于元数据服 务器要为每一个应用客户端对每一个访问对象的请求生成一个权能证 书,在一个拥有成千上万用户的大规模存储系统中,将在元数据服务器 上产生大量的负载,增加应用客户端访问元数据服务器的延迟,在高性 能的存储系统中,元数据服务器要在短时间内产生成千上万的权能证书
几乎是不可能的;(2) CBAC模型强调了对应用客户端的授权和访问控 制,而没有考虑用户权限管理的问题,而在数据量大,类型多样,变化 频繁以及用户数量多,调动频繁的PB级存储系统中,用户的权限管理将 变得更加复杂和难于维护,大大降低系统的安全性和可靠性。(3) CBAC 模型中,元数据服务器管理和认证用户,存储设备依据元数据服务器授 予应用客户端的权能证书进行访问控制,这种身份管理和访问控制相分 离的方式带来了存取控制冗余和安全漏洞,降低了系统的安全性,如 增加了生成和验证权能证书操作,传递中的权能证书易受攻击。
初期的CBAC采用细粒度的授权证书,每个权能证书一次只对一个 用户和一个访问对象授权,减少元数据服务器生成权能证书数量的一个 方法就是扩展权能证书的功能,加州大学圣克鲁兹分校存储系统研究中 心的研究人员提出了扩展证书的思想,单个权能证书可以同时对多个用 户和多个被访问文件授权,然而,采用这种粗粒度权能证书的方案并没 有根本解决上述提到的问题,反而增加了系统的复杂性。基于以上分析, 基于证书的访问控制模型可以为小规模存储系统提供较好的访问控制, 而不适用于高性能的PB级存储系统,需要新的访问控制模型的提出。
发明内容
本发明提出一种分布式安全存储系统,目的在于克服现有基于证书
5的安全存储系统中安全管理器负载重,用户权限管理复杂的问题,并消 除现有系统中的存取控制冗余和安全漏洞,满足信息量大,数据种类复 杂,用户多的大规模、高性能信息存储系统的安全需求。
本发明的一种分布式安全存储系统,包括连入网络的应用客户端、 存储设备、安全与策略管理器和元数据服务器;应用客户端、安全与策 略管理器、元数据服务器和存储设备之间采用iSCSI协议进行通信;应 用客户端和安全与策略管理器、元数据服务器之间采用TCP/IP协议通信; 存储设备为对象存储设备或附网存储设备,对外提供标准的对象接口或 文件接口,为用户提供存储服务;元数据服务器对多个存储设备进行管 理、将用户数据映射到多个存储设备上,控制存储设备间的负载平衡; 其特征在于-
所述应用客户端、存储设备、安全与策略管理器和元数据服务器以 及所有用户均为本系统的成员,各成员至少拥有一个数字身份证书;
所述存储设备以及存储设备中的存储数据具有与其关联的访问控制
项;
所述安全与策略管理器存储并管理全系统的访问控制策略和规则, 依据全系统访问控制策略和规则对存储设备进行访问策略控制和权限控 制,包括改变访问控制项的优先级和继承规则,添加、修改和删除访问 控制项。
所述的分布式安全存储系统,其特征在于
所述数字身份证书包含成员标识符、所属角色标识符以及证书有效 期限;数字身份证书为由公钥机制的证书授权中心发放的授权证书或者 是由基于身份的密钥机制的密钥生成中心发放的标识证书;
所述访问控制项定义成员或角色对存储设备以及存储数据所具有的访问权限;访问控制项包括成员访问控制项和角色访问控制项,分别对 应于对成员的访问控制和对角色的访问控制;成员访问控制项具有比角 色访问控制项更高的优先级;具有访问权限控制的成员通过对访问控制 项的添加、删除和修改可以实现权限的授予、回收和变更。
所述的分布式安全存储系统,其特征在于
访问控制项以列表的方式进行组织,分为成员访问控制项列表和角
色访问控制项列表;
存储设备上的存储数据继承所在存储设备的访问控制项; 用户的身份证书以智能卡形式实现。
所述的分布式安全存储系统,其特征在于所述元数据服务器和安 全与策略管理器在同一台计算机上实现。
对本发明的系统访问包括以下步骤
(1) 用户在应用客户端对访问请求进行签名,或安全与策略管理器 对访问请求进行签名,向存储设备提交访问请求和请求签名;
(2) 存储设备在收到访问请求时,首先验证数字身份证书的有效性, 数字身份证书由成员提交给存储设备,或者是存储设备事先保存的,或 者存储设备依据成员身份信息构造出来;
验证成员请求签名,确认成员身份;
依据成员身份、成员所属的角色以及与被访问存储设备或存储数据 关联的访问控制项进行访问控制;
(3) 具有访问权限控制的成员或安全与策略管理器通过对访问控制 项的添加、删除和修改可以实现权限的授予、回收和变更;若存储设备 收到授权请求则在本存储设备或所存储数据的访问控制列表中添加相应的访问控制项;收到权限回收请求则删除本存储设备或所存储数据的相 应访问控制项;收到权限变更请求则用新的权限许可替换被访问存储设 备或所存储数据的相应访问控制项的原权限许可。 .
与基于证书的安全存储系统及其访问控制方法不同,本发明将成员 访问权限与被访问存储设备或所存储数据关联,存储设备在接受成员访 问时只需验证成员身份,依据成员身份、所属的角色以及与被访问存储 设备或所存储数据关联的访问控制项进行访问控制。本发明考虑了成员 访问权限集中放置带来的性能瓶颈和管理复杂的问题,并强调了成员访 问存储系统时的实名制问题,具有以下优点
1. 本系统各成员之间交互或系统外设备在进入系统时必须具有合法 有效的身份证书,大大加强了系统的安全性。
2. 存储设备依据与被访问存储设备或所存储数据关联的访问控制项
进行访问控制,成员在访问存储设备以前不需要向安全管理器请求权能 证书,解决了安全管理器的性能瓶颈问题。
3. 成员访问权限与被访问存储设备或所存储数据关联,并允许访问 控制项的继承,当生成新的存储数据、删除存储数据或改变存储数据的 访问权限时,避免了使用和更新庞大的成员权限列表,只需修改被访问 存储设备或所存储数据的相应访问控制项即可,从而降低了大规模存储 系统中权限管理的复杂性。
本发明有效地利用了存储设备的计算能力,将集中式的授权操作分 散到存储节点,避免了传统安全存储系统中安全管理器的性能瓶颈,解 决了大规模存储系统中成员权限管理复杂的问题,依据成员身份证书而 不是权能证书进行访问控制消除了传统安全存储系统中身份管理和访问 控制相分离带来的存取控制冗余和安全漏洞,提高了系统的安全性,适 用于构建大规模高性能的安全存储系统。
图1为本发明的结构示意图2为访问本发明的流程示意图3为成员或角色访问控制项格式;
图4为成员或角色访问控制项列表格式;
图5为设置访问控制项命令格式。
具体实施例方式
下面结合附图给出存储节点采用对象存储设备时本发明的具体实施 例,2005年1月美国国家标准局批准了 INCITS所属T10技术委员会提 交的OSD (Object-based Storage Device)标准第一版,即SCSI对象存储 命令标准。T10 OSD标准定义了一个基于证书的访问控制模型,本实施 例对T10OSD标准进行了扩展,需要指出的是本发明也适用于异构存储. 的情况,即存储设备可以是对象存储设备、附网存储设备以及其它存储 设备中的一种或几种。
图1为本发明的分布式安全存储系统结构示意图,包括应用客户端、 存储设备、安全与策略管理器和元数据服务器四个部分。.
图2为访问本发明的流程示意图,步骤如下
(1) 用户在应用客户端对访问请求进行签名,或安全与策略管理器 对访问请求进行签名,向存储设备提交访问请求和请求签名;
(2) 存储设备验证成员身份,
A. 验证数字身份证书的有效性;
B. 验证成员请求签名
(3) 存储设备验证成员权限A. 搜索与被访问存储设备或所存储数据关联的成员访问控制项列 表,若搜索到成员标识符与当前成员标识符匹配的访问控制项,则依据
该访问控制项的权限许可做出授权判定;否则
B. 搜索与访问对象关联的角色访问控制项列表,若搜索到角色标识 符与当前角色标识符匹配的访问控制项,则依据该访问控制项的权限许 可做出授权判定;否则拒绝访问;
(4)设置访问控制项 具有访问权限控制的成员或安全与策略管理器通过设置访问控制项 命令更新与存储设备或所存储数据关联的访问控制项,实现授予,修改 和回收用户或角色权限。
图3为与存储设备或所存储数据关联的访问控制项格式,访问控制 项包括成员访问控制项和角色访问控制项两种,分别指定了成员和角色 对被访问存储设备或其存储数据所具有的访问权限。
访问控制项长30字节,每字节有8位;
成员(或角色)标识符字段为25字节长,指定成员(或角色)的标 识。成员标识符为成员名或整数值,如客户端序号、存储设备序号、安 全与策略管理器、元数据服务器以及各用户名称;角色标识符为角色名, 如角色A、角色B...,或管理员、普通用户;
权限许可字段为5字节长,指定该访问控制项的成员(或角色)对 被访问存储设备或其存储数据所具有的访问权限,如读、写、删除、创 建等。
图4为以列表形式组织的访问控制项,包括列表类型字段、访问控 制项数字段和访问控制项字段,各字段定义如下
列表类型字段占用首字节的低4位,指定该列表的类型,值为lh表示成员访问控制列表,值为2h表示角色访问控制列表,其中Xh指十六 进制数。
访问控制项数字段为2字节长,指定列表所包括的访问控制项数目。 访问控制项字段包括任意个长30字节的访问控制项,每个访问控制 项为图3所示成员或角色访问控制项,当列表类型字段值为lh时访问控 制项字段存储成员访问控制项,当列表类型字段值为2h时访问控制项字 段存储角色访问控制项。
图5为本发明的设置访问控制项指令格式,该指令用于具有访问权 限控制的成员或安全与策略管理器对访问控制项进行检索和设置,该指 令支持的操作包括获取、添加、删除和修改访问控制项。本条指令与TIO OSD指令集兼容,共占用200字节,前10个字节同T10 OSD指令,其 中第0字节是值为7Fh的操作码字段,第l字节是控制字节,第8、 9字 节为服务行为字段,值8890h为本发明定义的设置访问控制项指令。第 IO字节开始为服务内容特定字段,如图5所示,各字段定义如下
1) 选项字节,定义同T10OSD指令。
2) 获取列表类型字段占用第11字节的高4位,用来指定要获取的 访问控制项列表类型,lh表示要获取的是成员访问控制项列表,2h表 示要获取的是角色访问控制项列表。
3) 设置列表类型字段占用第11字节的低4位,用来指定要设置访 问控制项列表类型,lh表示要设置的是成员访问控制项列表,2h表示 要设置的是角色访问控制项列表。
4) 时戳控制字段占用第12字节,定义同T10OSD指令。 第13 15字节保留。
5) 分区标识符字段占用第16 23字节,用户对象标识符字段占用 第24 31字节,定义同T10 OSD指令。分区标识符字段和用户对象标识符字段指定要操作的访问控制项所关联的存储在设备上的数据对象。
第32 51字节保留。
6) 获取访问控制列表数字段占用第52 53字节,指定一次要获取 的访问控制项数目,为O表示没有访问控制项要被检索,为FFFF表示检 索全部的访问控制单元。
7) 获取访问控制项列表偏移字段占用第54 57字节,指定要获取 的访问控制项列表的首字节相对于数据输出缓冲区首字节的偏移字节 数。
8) 获取访问控制项列表分配长度字段占用第58 61字节,指定被 分配用来接收检索到的访问控制项的字节数。
9) 检索访问控制列表偏移字段占用第62 65字节,指定了包含被 检索到的访问控制项列表相对于数据输入缓冲区首字节的字节偏移量。
10) 设置访问控制项数字段占用第66 67字节,指定一次要设置的 访问控制项的个数,为O表示没有访问控制项要被设置,为FFFF表示设 置全部的访问控制项。
11) 设置访问控制项列表偏移字段占用第68 71字节,指定要被设 置的访问控制项列表的位置相对于数据输出缓冲区首字节的字节偏移 量。
第72 199字节保留。
权利要求
1.一种分布式安全存储系统,包括连入网络的应用客户端、存储设备、安全与策略管理器和元数据服务器;应用客户端、安全与策略管理器、元数据服务器和存储设备之间采用iSCSI协议进行通信;应用客户端和安全与策略管理器、元数据服务器之间采用TCP/IP协议通信;存储设备为对象存储设备或附网存储设备,对外提供标准的对象接口或文件接口,为用户提供存储服务;元数据服务器对多个存储设备进行管理、将用户数据映射到多个存储设备上,控制存储设备间的负载平衡;其特征在于所述应用客户端、存储设备、安全与策略管理器和元数据服务器以及所有用户均为本系统的成员,各成员至少拥有一个数字身份证书;所述存储设备以及存储设备中的存储数据具有与其关联的访问控制项;所述安全与策略管理器存储并管理全系统的访问控制策略和规则,依据全系统访问控制策略和规则对存储设备进行访问策略控制和权限控制,包括改变访问控制项的优先级和继承规则,添加、修改和删除访问控制项。
2. 如权利要求1所述的分布式安全存储系统,其特征在于-所述数字身份证书包含成员标识符、所属角色标识符以及证书有效期限;数字身份证书为由公钥机制的证书授权中心发放的授权证书或者 是由基于身份的密钥机制的密钥生成中心发放的标识证书;所述访问控制项定义成员或角色对存储设备以及存储数据所具有的 访问权限;访问控制项包括成员访问控制项和角色访问控制项,分别对 应于对成员的访问控制和对角色的访问控制;成员访问控制项具有比角色访问控制项更高的优先级;具有访问权限控制的成员通过对访问控制 项的添加、删除和修改可以实现权限的授予、回收和变更。
3. 如权利要求1或2所述的分布式安全存储系统,其特征在于 访问控制项以列表的方式进行组织,分为成员访问控制项列表和角色访问控制项列表;存储设备上的存储数据继承所在存储设备的访问控制项; 用户的身份证书以智能卡形式实现。
4. 如权利要求3所述的分布式安全存储系统,其特征在于所述元 数据服务器和安全与策略管理器在同一台计算机上实现。
全文摘要
一种分布式安全存储系统,属于计算机存储技术领域,目的在于克服现有基于证书的安全存储系统中安全管理器负载重,用户权限管理复杂的问题。本发明包括连入网络的应用客户端、存储设备、安全与策略管理器和元数据服务器;安全与策略管理器存储并管理全系统的访问控制项、访问控制策略和规则,依据全系统访问控制项、访问控制策略和规则对存储设备进行访问策略控制和权限控制,包括改变访问控制项的优先级和继承规则、添加和删除访问控制项。本发明将集中授权分散到存储节点,避免安全管理器的性能瓶颈,解决了用户权限管理复杂的问题,将身份管理和访问控制相结合消除了存取控制冗余和安全漏洞,适用于构建大规模高性能的安全存储系统。
文档编号H04L29/08GK101316273SQ200810047679
公开日2008年12月3日 申请日期2008年5月12日 优先权日2008年5月12日
发明者丹 冯, 可 周, 杨天明, 牛中盈, 巍 闫, 雷栋梁, 颜钦华 申请人:华中科技大学