开放式安全存储区域网模拟平台

模拟系统是研究与测试系统功能的重要方法,分析了现有存储区域网模拟系统,针对测试各类应用于保护存储区域网系统的安全机制,设计了开放式安全存储区域网模拟平台.使用线程模拟存储区域网系统中的主机、元数据服务器和存储设备,使用缓冲区模拟存储区域网系统中的通信,实现了接收访问请求和主机模块,构建了元数据和存储设备模块的框架,提供了实现元数据管理和存储设备中数据管理功能的功能接口,能模拟存储区域网的各项功能;在元数据和存储设备模块中提供了增加安全保护机制的安全接口,通过实现的不同安全保护机制,能模拟各类安全存储区域网系统,从而为测试各类应用于保护存储区域网系统的安全机制提供良好的平台;最后在元数据和存储设备模块中,通过功能接口实现了基本的元数据管理和存储设备中的数据管理功能,测试系统是否能正确地处理访问请求,完成存储区域网的功能.测试结果表明:开放式安全存储区域网模拟平台能模拟存储区域网处理访问请求的流程,为测试各类应用于保护存储区域网系统的安全机制提供了良好的基础.     

一种安全的USB2.0设备控制器设计

针对基于通用串行总线(USB)的移动存储设备面临的安全威胁及常见安全机制的弱点,提出一种安全USB2.0设备控制器的设计方案,采用基于哈希函数的双向身份认证协议以及块加密方案XTS-AES算法,为USB接口提供主机与设备的双向身份认证和存储数据加密的安全机制。该方案从硬件层为USB移动存储设备的安全机制提供技术支持,以较少的密钥使用量为存储数据提供芯片级的安全防护。     

一种基于安全芯片的可信移动存储设备的双向认证机制

随着信息技术和存储技术的发展,移动存储设备的安全问题日益突出并亟待解决。针对目前移动存储设备安全措施薄弱,对身份认证的能力不足的现状,本文提出向移动存储设备引入安全芯片,由安全芯片生成密钥以及身份信息,建立可信移动存储设备与主机的双向身份认证机制,以增强移动存储设备的安全性。认证双方由安全芯片产生身份密钥和加密密钥,交换加密密钥的公钥和身份信息,建立初始的信任关系,当可信移动存储设备需要与主机交互数据前,必须以消息请求响应的方式进行双向的身份认证,消息的传输由加密密钥来保护,身份信息的验证由身份密钥来实现。本文使用形式化分析的方法,对双向身份认证机制的过程进行了分析,证明了双向认证机制符合安全性要求,增强了移动存储设备的安全性。将安全芯片引入移动存储设备和主机,在此基础上建立主机与可信移动存储设备的信任关系,在数据交互前进行双向的身份认证,对双方的身份进行验证与核实,防止了数据的非法访问,增强了移动存储设备的数据安全性。     

基于DICE的证明存储方案

信息技术的不断发展和智能终端设备的普及导致全球数据存储总量持续增长,数据面临的威胁挑战也随着其重要性的凸显而日益增加,但目前部分计算设备和存储设备仍存在缺乏数据保护模块或数据保护能力较弱的问题.现有数据安全存储技术一般通过加密的方式实现对数据的保护,但是数据的加解密操作即数据保护过程通常都在应用设备上执行,导致应用设备遭受各类攻击时会对存储数据的安全造成威胁.针对以上问题,本文提出了一种基于DICE的物联网设备证明存储方案,利用基于轻量级信任根DICE构建的可信物联网设备为通用计算设备(统称为主机)提供安全存储服务,将数据的加解密操作移至可信物联网设备上执行,消除因主机遭受内存攻击等风险对存储数据造成的威胁.本文工作主要包括以下3方面:(1)利用信任根DICE构建可信物联网设备,为提供可信服务提供安全前提.(2)建立基于信任根DICE的远程证明机制和访问控制机制实现安全认证和安全通信信道的建立.(3)最终利用可信物联网设备为合法主机用户提供可信的安全存储服务,在实现数据安全存储的同时,兼顾隔离性和使用过程的灵活性.实验结果表明,本方案提供的安全存储服务具有较高的文件传输速率,并具备较高...     

基于NFS协议的存储加密代理设计与实现

文章在对NFS协议进行分析的基础上,针对于Linux用户设计并实现了基于NFS协议的存储加密代理——NFSA,以实现企业文件数据在网络存储设备上的加密存储。NFSA完成对于Linux用户数据文件的安全共享与存储,并提供多种访问控制规则相结合的访问控制机制、权限分离的安全审计机制,保证文件数据在网络存储设备上的安全。最后通过实验测试NFSA的基本功能,保证了NFSA自身功能的可用。     

一种安全移动存储系统的研究与实现

针对移动存储设备的便利性带来的敏感数据的安全性问题,通过对移动存储设备的安全需求进行分析,提出一种安全的移动存储系统。分析系统中移动存储设备驱动、磁盘扇区读写操作、数据加密存储机制以及防毒策略设置等关键技术,构建一个原型系统,实现对移动存储设备中数据的加密和保护。     

企业内部分布式存储高效扩展机制研究

在研究文件存储基础设备与技术发展的基础上,提出一种可高效扩展的分布式存储机制,将企业中已有的服务器和存储设备作为分布式存储的存储单元,将文件作为存储对象,建立一种高效率甚至是零等待时间的可以随时扩展或减少存储单元的分布式存储机制。企业中存在的服务器和存储设备较多时,利用该分布式存储机制后存储性能会得到较大的提升,管理人员文件管理的劳动强度将大大降低。重点是能够帮助企业充分利用原有的服务器和存储设备,减少更新换代的一次性大量投入。     

移动存储设备多密级安全交互方案

针对移动存储设备在不同密级主机间交叉使用时可能造成信息泄漏的安全问题,提出了一种基于文件系统过滤驱动的移动存储设备多密级交互方案.该方案基于移动存储设备的特殊硬件结构,通过文件系统过滤驱动在Windows文件操作中加入访问控制机制,实现了主机对移动存储设备的分级受控访问.实验结果表明,该方案实现了文件操作的细粒度控制及...     

烟草异地数据灾备系统的研究与实现

随着烟草各信息系统的地域集中和数据中心的建立,数据逐步集中到各市烟草公司,原有以EMC阵列和Veritas Storage Foundation存储管理系统为核心的主机存储备份系统,由于不具有异地容灾的功能,不能满足当前的信息化安全要求。在调研浙江省烟草各市公司的基础上,提出了异地迁移和新增主机二种异地数据容灾备份方案。异地迁移就是把现在的小型机和存储设备进行合理的分离,布置到二个不同的机房;新增主机就是尽量不改变老机房的基础上,在新机房增加小型机和存储设备的方法。经过实际运行,异地迁移和新增主机方案,既保护了原有投资,又很好地解决了数据异地容灾备份问题。     

柔性网络化数据存储中心

网络存储技术的应用使存储系统和存储结构发生了显著的变化。柔性网络化数据存储中心(数据中心)采用基于IP的存储技术，使主机可以绕过服务器直接访问存储设备。该文分析了数据中心的体系结构，实验结果表明，数据中心相对于服务器存储，其性能有了大幅提高。应用于数据中心的“网络化光盘库”丰富了数据中心的存储层次，大容量磁盘缓存和光盘镜像技术提高了光盘库的性能。基于生物免疫思想的安全机制能有效地阻止对数据中心存储节点的异常访问和操作。     

一种云存储环境下的安全网盘系统

随着云存储的迅速推广,有越来越多的用户开始使用网盘系统存放数据.然而,最新的研究结果却表明：现有网盘系统普遍存在着安全漏洞.近年来,网盘泄漏用户数据的事件更是印证了这些漏洞的存在.为此,提出一种云存储环境下的安全网盘系统架构,并在此架构上设计实现了CorsBox 系统.CorsBox 系统采用一种基于目录树的同步方式,在提高安全性的同时保证了共享操作的最终一致性,为用户提供访问权限控制、大数据断点传输、版本控制等功能.测试结果表明,安全机制仅给系统带来了很少的额外开销,说明CorsBox 系统在提高数据安全性的同时依然具有良好的性能.     

网络存储安全系统研究综述

网络存储系统可统一为用户提供集中、共享和海量的存储服务.简要介绍了网络存储安全系统的研究概况,总结分析了当前网络存储安全机制及其优缺点,并指出了网络存储安全系统实现的主要关键技术,最后根据当前软硬件的发展和应用的发展需求,展望了网络存储安全的研究方向.     

分布式安全存储技术

迅速增加的敏感数据迫使企业更加重视存储系统的安全性。本文详细地讨论了分布式安全存储系统所提供的安全服务，并对这些安全服务进行了比较，为企业安全存储系统的设计和构建提供有益的帮助。     

任务网数据存储安全关键技术分析

航天发射任务内网数据包含五大系统信息和各类指挥信息、处理信息,时效性、安全性要求高,需要提供有效防护.论文简单分析了内网安全的定义及其设计原则,结合网络技术的进步发展,提出了从文件分布式存储、文件透明解密过滤器以及多协议并行安全系统上进行内网数据存储安全的防护,力求进一步提高试验任务内网数据存储的安全性.     

区块链存储：技术与挑战

区块链具有不可被篡改和去中心化的特性,将其应用到存储系统中,有助于提高存储系统的数据安全性和系统可扩展性。区块链技术与存储技术的融合主要分为 3 方面：基于区块链构建的去中心化存储系统、基于区块链优化已有系统的存储性能和区块链系统自身的存储方法与优化。对这些工作进行了综述,讨论对比了当前典型的采用了区块链技术的存储系统,总结了区块链存储面临的主要挑战,并展望了区块链存储的发展方向。     

基于角色访问控制的对象存储安全认证机制

提出了一种用于基于对象存储系统(OBS)的安全认证机制--RACOS,它采用基于角色的访问控制,保证了系统中客户对OBS中对象访问的合法性以及数据的完整性,通过在系统中设置专用安全管理器减轻了文件服务器的负担.同时,安全管理器和对象存储设备(OSD)之间使用经过改进的简单密钥交换协议(SAKA)来设置和更新共享密钥,降低了系统对通信信道安全性能的要求.     

一种二维防护的安全文件系统体系结构

对传统安全文件系统的特征进行了分析，指出现有安全文件系统在数据可用性、系统性能上存在的问题，并基于堆栈文件系统设计了一个二维防护的安全文件系统体系结构，将存储系统应提供的安全服务进行集成。实验结果表明，新系统在安全和性能上达到了良好平衡。     

网络存储环境下基于RADIUS的DH-CHAP方案

针对现存网络存储系统安全的脆弱性，基于强安全性、高灵活性、可扩展性好的设计思想，设计了一个基于远程拨号用户认证服务（Remote Authentication Dial In User Service，RADIUS）的DH挑战握手认证协议（Diffie Hellman Challenge Handshake Authentication Protoco，DH CHAP）身份认证方案，为数据保护的框架结构提供了授权、机密性与完整性保护的基础。     

SeWDReSS: on the design of an application independent,secure, wide-area disaster recovery storage system

Distributed wide-area storage systems must tolerate both physical failure and logic errors. In particular, these functions are needed to enable the storage system to support remote disaster recovery. There are several solutions for distributed wide-area backup/archive systems implemented at application level, file system level or at storage subsystem level. However, they suffer from high deployment cost and security issues. Moreover, previous researches in literature only focus on any disk-related failures and ignore the fact that storage server linked predominantly to a Wide-Area-Network (WAN) which may be unavailable or owing to network failures. In this paper, we first model the efficiency and reliability of distributed wide area storage systems for all media, taking both network failures and disk failures into consideration. To provide higher performance, efficiency, reliability, and security to the wide-area disaster recovery storage systems, we present a configurable RAID-like data erasure-coding scheme referred to as Replication-based Snapshot Redundant Array of Independent Imagefiles (RSRAII). We argue that this scheme has benefits resulting from the consolidation of both erasure-coding and replication strategies. To this end, we propose a novel algorithm to improve the snapshot performance referred to as SMPDP (Snapshot based on Multi-Parallel Degree Pipeline). We also extend this study towards implementing a prototype system, called as SeWDReSS, which is shown to strike a tradeoff between reliability, storage space, security, and performance for distributed wide-area disaster recovery.     

虚拟桌面系统应用安全性分析与对策

虚拟桌面系统的部署,带来了数据安全性的提升,但也使身份认证、集中存储和传输安全等问题更加突出。针对上述问题,从身份认证、存储加密、传输加密、服务器管控等六个方面提出解决建议。