随着电子信息技术迅猛发展,信息存储逐渐成为计算机科学技术研究的重要领域。存储虚拟化系统是指通过将具体的物理存储设备和服务器操作系统相分离,在广域网范围内将零散分布的存储资源进行整合,构造统一的逻辑存储视图,为用户提供大容量、高性能和高可用的存储服务。 在国家高技术研究发展 863 计划的资助下,集群和网格计算湖北省重点实验室承担了存储虚拟化及其文件系统的研究,并成功的自主研发出广域分布式存储虚拟化系统 GDSS(Global Distributed Storage System),该系统是将分布在互联网上的各种存储资源整合成具有统一逻辑视图的高性能存储系统。 数据的安全性问题是存储虚拟化系统所面临的关键问题之一。在传统的附属于某个主机的存储模式,如 DAS(DirectAttached Storage)和 RAID(RedundantArray of Independent Disk)等存储结构中,数据专属于某个主机,因此数据的安全性可以保障。但是现在的存储网络模式,在带来高性能、高可用性等优点的同时,也由于大量数据在广域网上传输,一定程度上降低了系统的安全性。因此在广域网范围内对存储虚拟化系统的安全进行研究和设计有着相当重要的意义。 如何保证数据的安全访问是存储虚拟化系统安全设计所要解决的核心问题。存储虚拟化系统安全设计所要解决的主要问题是身份认证、访问控制和安全通信,而核心的问题就是分布式系统中的身份认证问题,可以说解决身份认证问题是实现访问控制和安全通信的最基本的前提和保证。 本文通过分析传统分布式安全机制的不足,结合通用 PKI 系统中的层次 CA模型和网状 CA 模型,提出了一种新的认证中心结构 GDSS-PKI。该结构是适合于广域存储虚拟化系统应用的扩展 PKI 系统,具有以下的优点是:在整个 PKI系统内划分自治域,各个自治域都有相对独立的根 CA 作为本域的单一信任点,从而避免了层次结构 PKI 模型的全系统单一信任点的不足;仅仅采用各个自治域的根 CA 作为网状 PKI 结构中的节点,大大减少了网状 PKI 结构中的节点数目,降低了跨域证书路径处理的复杂性。同时,在 GDSS-PKI 结构的实现中,引入了跨域信任证书和相应的跨域信任证书路径构造算法,解决了双向网状信任关系的证书路径扩展和发现过于复杂的问题。