大多数存储系统都有严重的安全缺陷,因为数据主要是通过操作系统的访问控制机制来进行保护,用户只要绕过操作系统,物理上接触存储设备,就能随意访问这些数据。鉴于数据已成为企业生存的命脉和宝贵的资源,存储安全性问题越来越突出。针对传统的基于三方架构的分布式文件系统DNFS(Distributed Network File System)设计了一个安全文件系统KCFS(Kernel-Level Cryptographic File System),该系统可以运行在所有基于POSIX标准的文件系统之上,为用户提供数据机密性、完整性、文件共享等需求,同时保证了良好的性能和易用性。KCFS加密文件系统以一个独立的文件系统模块形式实现数据的随机加密,运行于分布式文件系统的客户端,可以保证网络传输和存储设备上的数据都以密文的形式存在;KCFS把文件数据和元数据存放在同一个文件中,从而完美地支持增量备份、大规模存储系统间的文件迁移和文件共享;KCFS具有很高的安全性,可以支持多种不同的加密算法和密钥长度,每个文件可以采用不同的密钥,即不同文件具有不同的加密强度;同时,该软件具有很好的易用性,它能够透明地处理文件加密和解密,合法用户和应用程序一经授权,用户就可以通过标准的文件访问接口透明地访问加密文件,无需额外的人工干预。最后对KCFS文件系统从功能和性能上进行了测试和分析。在功能上,主要关注该系统的稳定性、文件共享机制、易用性、可移植等;在性能上,主要关注添加了KCFS的加密功能后,对系统的性能带来的影响,以及选用不同的加密算法和密钥长度对系统性能的影响。实验结果表明,KCFS在保证存储系统安全的同时,还具有较高的性能,在实际应用和科研环境中,具有广阔的应用前景和使用价值。