基于文件系统过滤驱动的加密系统设计与实现

针对传统应用层加密系统每次使用都需要输入口令,使用复杂且安全性不高,而设备驱动层加密系统紧耦合于操作系统及其组件,实现繁杂等问题,在Windows NT内核框架下利用文件系统过滤驱动实现数据加解密的安全保护系统。结果证明可以对存取中的数据进行动态透明的加解密,使用方便安全,支持多种文件系统。从安全性和性能上对比了该加密系统与Windows EFS加密文件系统。     

NTFS文件系统结构与安全性分析

本文主要针对NTFS基本结构及安全性能进行分析与研究并与FAT文件系统加以对比,让读者能够更加了解NTFS文件系统,并能更有效地利用其管理磁盘文件。结合当前存储技术的发展特点,以操作系统为分析平台,以硬盘存储介质为主要分析对象,介绍了两种文件系统类型,对并其各自的优缺点进行对比分析,目的是让读者全面了解两种文件系统下各种不同数据在组织过程中采用的方式,以期给后面要进行的数据取证和数据恢复提供一些理论上的依据。NTFS文件系统有着诸多的优越性,使得操作系统在磁盘空间管理、文件访问权限设置及文件安全设置等各方面性能得以大幅提高。NTFS文件系统可谓目前为止最稳定、最安全和最实用的文件系统。     

构造嵌入式Linux的文件系统

文件系统是Linux系统最基本的资源。本文介绍了一种嵌入式Linux文件系统的构造过程，较为详细地讲解了如何选择和配置所需的系统文件，以及如何设置文件系统的用户和属组来使系统达到一定的安全性能。该文件系统已成功应用于一款手持电脑产品中。     

NFS over Lustre性能评测与分析

传统的网络文件系统难以满足高性能计算系统的I/O 需求，基于对象存储的全局并行文件系统Lustre可以有效地解决传统文件系统在可扩展性、可用性和性能上存在的问题。该文介绍了Lustre文件系统的结构及其优势，对NFS over Lustre 进行了性能测试，并将测试结果与Lustre文件系统、NFS网络文件系统及本地磁盘Ext3文件系统的性能进行了比较分析，给出了性能差异的原因，提出了一种可行的解决方法。     

高性能逻辑文件系统设计与实现

服务器端文件系统不仅需要很大的容量,而且要为大量并发访问提供很高的I/O性能。该文提出一种把多个物理文件系统通过软件集成为一个逻辑文件系统的技术,很好地聚合了各个文件系统所在磁盘设备的带宽和容量,综合了不同文件系统在元数据和数据处理性能上的优势。性能测试结果表明,逻辑文件系统技术是一种构造支持高度并发访问的高性能文件系统的有效方法。     

SNFS并行文件系统负载均衡技术的研究与实现

在大规模集群系统的并行运算环境中,I/O效率一直是影响系统整体性能的关键因素,并行文件系统技术是目前解决I/O性能瓶颈的有效途径之一。介绍当前并行文件系统的发展现状以及并行文件系统的类型,阐述SNFS并行文件系统的架构以及负载均衡DLC(分布式LAN客户端)技术的实现原理,并给出大规模集群系统环境中SNFS文件系统负载均衡技术的实现方法,最后,通过实际应用分析说明该技术在提升I/O性能上的优势。     

一种改进的轻量级嵌入式安全文件系统模型

有效保护各种移动设备中的数据安全是当前嵌入式系统的关键技术之一。针对各种移动设备,特别是资源受限设备,在通用文件系统的基础上,采用适合嵌入式系统的安全访问控制策略,以及对存储器的设备驱动层代码优化,研究并实现了一个轻量级嵌入式安全文件系统。实际应用表明：该模型能够满足嵌入式安全文件系统的性能要求。     

基于Linux的大容量Yaffs文件系统性能优化与实现

针对Yaffs文件系统应用在大容量存储设备时所产生挂载速度慢的问题,提出一种新的改进方法,并在Yaffs2文件系统中进行了实现。通过在Yaffs2文件系统中增加适当的偏移量,使得在扫描挂载文件系统时减少了不必要的扫描时间,从而加快了挂载的速度。在最新的Yaffs2文件系统当中,依据该方法修改Yaffs2源代码,同时,在Linux系统上加入了对改进后文件系统的支持。对改进前后的性能进行分析和实验,表明了该方法的可行性。     

基于可信计算平台的加密文件系统

普通的加密文件系统能够对文件内容进行安全保护,加密文件与密钥被绑定在一起。但是,密钥仅仅通过弱口令来进行安全保护,这对系统来说是一个安全隐患,因此密钥保护是迫切需要解决的问题.通过运用TPM密钥树对整个文件系统中的密钥进行加密保护,将加密密钥同TPM所在平台进行绑定,从而实现密钥的安全保护,增强了整个系统的安全性。通过采用基于HMAC的数据检验,在保证安全性的同时,又提高了完整性校验的性能。     

虚拟文件系统机制在Android系统终端控制上的应用

针对Linux操作系统强大的多物理文件系统管理性能,从Linux的内核文件管理机制--虚拟文件系统(VFS)出发,对Linux系统如何识别和管理不同的物理文件系统进行了研究.针对当前兴起的android系统应用程序的开发进行了分析,运用虚拟文件系统的这种管理机制实现了在android系统的手机平台上的终端控制.该控制主...     

基于数据挖掘的文件元数据预取探究

在文件存储系统中,文件系统整体性能的提升对于保证文件的安全性和可靠性具有重要意义,而在此过程中,元数据访问性能与文件系统性能有密切关系,要想进一步满足大规模文件存储系统需要,就必须建立相应的文件元数据预取模型。本文通过对基于数据挖掘的文件元数据预取进行分析,以期满足文件数据的大量存取访问需求。     

基于安全审计日志的网络文件系统数据完整性保护方法

网络文件系统在方便数据共享的同时也带来了新的安全隐患,审计日志跟踪并记录文件服务器上数据的变化,对于分析评价系统的安全性有重要价值.现有的系统因为不能防止内部攻击以保证审计日志的安全性,无法很好地满足用户需求,如攻击者可以直接通过驱动程序修改磁盘上的审计日志来删除敏感数据.提出了一种基于安全审计日志的对网络文件服务器上的数据进行完整性保护的方法.服务器中的每个文件和目录都对应一个认证符以保证其完整性,通过将文件服务器上的活动记录下来并生成日志,事后根据认证符和分析日志信息来对数据进行审计.另外,通过引入一个可信组件来生成认证符和审计日志并保证它们的安全性.根据该方法在NFS服务器上实现了原型系统Nfsd-log并对其进行了性能测试.SSH-build的测试结果表明,Nfsd-log的总时间开销比未受审计日志保护的原始NFS服务器的时间开销仅增加9.2%.     

分布式异构存储网络安全技术的研究

分布式存储网络增加了系统的高可用性、高扩展性以及高性能等优点的同时,也给系统造成了更多的安全隐患。通过设计一种内核态的加密文件系统,并结合研究的存储代理、异构文件系统服务、元数据管理等技术,该文提出了一种新的异构存储网络安全架构,该方法解决了传统技术不能很好解决分布式环境安全的弊病。实验表明,采用加密后的文件系统给系统性能带来的性能开销很小,证明了这种内核态的安全技术可以很好地应用于分布式网络环境中。     

CRUST: cryptographic remote untrusted storage without public keys

This paper presents CRUST, a stackable file system layer designed to provide secure file sharing over remote untrusted storage systems. CRUST is intended to be layered over insecure network file systems without changing the existing systems. In our approach, data at rest is kept encrypted, and data integrity and access control are provided by cryptographic means. Our design completely avoids public-key cryptography operations and uses more efficient symmetric-key alternatives to achieve improved performance. As a generic and self-contained system, CRUST includes its own in-band key distribution mechanism and does not rely on any special capabilities of the server or the clients. We have implemented CRUST as a Linux file system and shown that it performs comparably with typical underlying file systems, while providing significantly stronger security.     

A secure file sharing service for distributed computing environments

Distributed cryptographic file systems enable file sharing among their users and need the adoption of a key management scheme for the distribution of the cryptographic keys to authorized users according to their specific degree of trust. In this paper we describe the architecture of a basic secure file sharing facility relying on a multi-party threshold-based key-sharing scheme that can be overlaid on top of the existing stackable networked file systems, and discuss its application to the implementation of distributed cryptographic file systems. It provides flexible access control policies supporting multiple combination of roles and trust profiles. A proof of concept prototype implementation within the Linux operating system framework demonstrated its effectiveness in terms of performance and security robustness.     

基于SSH和LDAP的分布式安全文件系统

如何为文件系统提供更完备和更强伸缩性的安全保障是安全文件系统研究的重要方面。基于LDAP技术和SSH协议设计了一个分布式安全文件系统,为文件系统提供了灵活而强大的安全策略保护,介绍了分布式安全文件系统的框架、原理以及安全设计以及分析。     

基于血统机制的文件系统安全

传统的操作系统授权机制,将文件作为孤立的客体进行访问控制,忽略了客体之间的关联所隐含的安全特性,存在诸多安全漏洞。针对此不足,文中用血统来表达文件系统中客体之间的关系,提出了一种基于血统的文件安全模型,并对其性能和安全性进行了分析。     

抗板级物理攻击的持久存储方法研究

为保护文件系统的安全性,提出一种抗板级物理攻击的持久存储方法。利用ARM TrustZone技术构建持久存储架构,实现内存保护机制和持久存储保护服务,提高文件系统的物理安全性。基于片上内存（OCM）在可信执行环境（TEE）中的内核层建立内存保护机制,保证TEE的可信应用能够抵抗板级物理攻击。基于TEE的内存保护机制实现保护文件系统中敏感数据的持久存储保护服务,确保文件系统的机密性和完整性。在物理开发板上实现持久存储架构的原型系统,使用基准测试工具对原型系统进行性能评估,并分析性能损耗的原因。测试结果表明,内存保护机制在保护TEE系统物理安全性时引入的时间开销会随着OCM的增大而减小,持久存储保护服务在保护数据量较小的敏感数据时产生的时间开销在用户可接受范围内。     

操作系统安全结构框架中应用类通信安全模型的研究

经典的BLP模型是解决保密性问题的理论基础,Biba模型是一种简明易实现的完整性模型．在应用系统中数据的共享和安全是一对矛盾．在将应用系统抽象为应用类的基础上,引入完整性规则集代表信息的可信度,结合BLP模型和Biba模型构造了一种应用类通信的安全模型,并给出了模型的形式化描述和正确性证明．应用类通信安全模型不仅解决了保密性问题,而且解决了完整性问题．以支持B／S文电传输应用系统的安全为例,给出了在操作系统中实现应用类通信安全模型的方法,分析了模型实现的有效性．     

基于μClinux的大容量媒体文件系统

针对嵌入式系统资源有限、稳定性差的问题,通过分析现有文件系统的优缺点,提出一种面向大容量媒体文件的嵌入式文件系统设计方案,介绍其体系架构和内部组成,对该文件系统与传统嵌入式文件系统的存储性能及稳定性进行对比测试。实验结果表明,该文件系统在存储性能和稳定性方面具有较大优势。