对象存储系统(OBS)采用了对象接口,整个系统由元数据服务器(MDS)、客户端(client)和对象存储设备(OSD)三部分构成。MDS负责元数据的管理,OSD是数据存储的实际载体,分离了数据的存储和管理。通过开放的网络,客户端可以直接访问存储在OSD上的对象。OSD直接地面对了网络安全威胁和恶意攻击。基于T10 OSD-2标准,针对OSD的安全设计了证书访问控制机制。主要包含两个方面,首先,提供证书验证机制保障只有合法证书才能对OSD对象进行访问,并为安全级别高的数据提供数据完整性以保证其高可靠性;其次,因为证书访问的安全性基于密钥的机密性,因此在MDS与OSD之间定期刷新密钥来保证密钥机密性。两者的结合可以有效地保证OSD的安全。在原有OSD上实现了一个拥有证书访问控制机制的安全OSD,主要包括证书验证过程和密钥刷新过程。其中证书验证由验证证书、重放检测和数据完整性三个模块组成,密钥刷新包括主密钥的刷新和其它密钥的刷新两个模块。并针对OBS中OSD可能遭遇的六种安全威胁进行了安全性分析,结果表明,安全OSD的设计和实现能够有效的防范各种安全威胁。对OBS系统性能进行测试的结果表明:验证证书对性能影响很小,还不到5%,而保证数据完整性使系统性能下降了52%,尽管这一现象在多结点情况下有所缓解,但仍然达到了30%。