现代大规模、高性能存储系统具有成千上万的用户和大量敏感数据,而且系统对安全性方面的设计考虑较少,其安全性也遇到了前所未有的挑战。传统的基于证书的访问控制模型存在着授权证书过多,密钥体系庞大等缺陷。为了解决该问题,提出了基于身份的存储系统安全访问控制模型。基于身份的存储安全访问控制,实现了身份认证和访问控制两阶段的安全控制。访问数据前,用户首先向可信中心申请身份证书,在请求元数据和访问存储设备时,用户和服务器端通过IBE身份认证算法进行相互身份认证,然后再根据元数据服务器或设备端存储的访问控制列表进行访问控制。在用户证书有效期内,用户在访问存储设备前不再需要请求授权证书,可以直接向存储设备发出访问请求,存储设备和元数据服务器可通过身份证书来认证用户,并通过与对象相关联的访问控制列表达到访问控制的目的。从而,基于身份的对象存储访问控制模型提高了用户访问效率,减轻了元数据服务器的负载。本文阐述了基于身份的存储系统安全访问控制框架,对系统的各部分的功能进行了详细说明;实现了基于IBE公钥密码技术的用户身份认证,保证了用户身份认证的高效安全;基于T10 OSD-2标准,设计了访问控制列表的结构,实现了对访问控制列表的各种操作与存储等;设计和实现了一个简单的可信机构,其功能包括生成用户私钥、身份证书以及证书撤销等。测试结果表明,在保证系统安全的前提下,基于身份的访问控制软件对系统性能影响不大。