[发明专利]一种分布式安全存储系统

权利要求书

1. 一种分布式安全存储系统，包括连入网络的应用客户端、存储设备、安全与策略管理器和元数据服务器；应用客户端、安全与策略管理器、元数据服务器和存储设备之间采用iSCSI协议进行通信；应用客户端和安全与策略管理器、元数据服务器之间采用TCP/IP协议通信；存储设备为对象存储设备或附网存储设备，对外提供标准的对象接口或文件接口，为用户提供存储服务；元数据服务器对多个存储设备进行管理、将用户数据映射到多个存储设备上，控制存储设备间的负载平衡；其特征在于：

所述应用客户端、存储设备、安全与策略管理器和元数据服务器以及所有用户均为本系统的成员，各成员至少拥有一个数字身份证书；

所述存储设备以及存储设备中的存储数据具有与其关联的访问控制项；存储设备在接受成员访问时，依据与被访问存储设备或存储数据关联的访问控制项进行访问控制；

所述安全与策略管理器存储并管理全系统的访问控制策略和规则，依据全系统访问控制策略和规则对存储设备进行访问策略控制和权限控制，包括改变访问控制项的优先级和继承规则，添加、修改和删除访问控制项。

2.如权利要求1所述的分布式安全存储系统，其特征在于：

所述数字身份证书包含成员标识符、成员所属角色标识符以及证书有效期限；数字身份证书为由公钥机制的证书授权中心发放的授权证书或者是由基于身份的密钥机制的密钥生成中心发放的标识证书；

所述访问控制项定义成员或角色对存储设备以及存储数据所具有的访问权限；访问控制项包括成员访问控制项和角色访问控制项，分别对应于对成员的访问控制和对角色的访问控制；成员访问控制项具有比角色访问控制项更高的优先级；具有访问权限控制的成员通过对访问控制项的添加、删除和修改可以实现权限的授予、回收和变更。

3.如权利要求1或2所述的分布式安全存储系统，其特征在于：

访问控制项以列表的方式进行组织，分为成员访问控制项列表和角色访问控制项列表；

存储设备上的存储数据继承所在存储设备的访问控制项；

用户的数字身份证书以智能卡形式实现。

4.如权利要求3所述的分布式安全存储系统，其特征在于：所述元数据服务器和安全与策略管理器在同一台计算机上实现。