云计算给用户提供了一种新的数据存储方式,可以将数据存储在云服务器上。用户可以减少本地的计算和管理成本,并可以随时随地通过终端对存储在云上的数据进行处理。但用户存储在云服务器的数据可能包括用户的隐私或含有利益属性的数据,用户对云存储的访问控制和数据安全的要求也在不断提高。目前市面上的云存储服务在静态存储数据和网络传输数据的过程中都存在诸多安全隐患。对于上述提到云存储面临的安全问题,本文基于Ceph分布式文件系统设计实现Ceph安全存储系统,可以保护用户数据在云上静态存储和网络传输过程中的安全,减少密钥分发可能存在安全隐患,支持面向个人和群组安全分享数据。本文的工作主要如下:（1）设计了Ceph安全存储系统的分层加密密钥管理方案。密钥分三层,最底层是加密和解密文件的数据密钥,中间层是加密和解密数据密钥的主密钥,最顶层是加密和解密主密钥的密钥对。密钥从最顶层往下逐层加密保存,用户只用管理维护最顶层密钥对。密钥对存储在u Key,便捷安全。分层加密的密钥管理方案不需要云服务提供商参与,用户在客户端自主管理密钥。（2）基于国产哈希算法SM3和对称加密算法SM4,在Ceph安全存储系统客户端加密文件和计算加密文件的哈希值,上传文件以密文形态存储在云上。每个文件拥有单独的数据密钥,文件的数据密钥被主密钥加密后作为文件元数据一同上传存储。用户登录系统时获取主密钥并缓存在客户端随时读取使用。下载时文件和数据密钥一同下载,首先验证下载文件的完整性,然后在客户端使用主密钥解密出原始数据密钥,再解密文件。（3）基于国产非对称加密算法SM2,在Ceph安全存储系统客户端实现面向个人分享加密文件。创建分享时,首先获取分享文件的数据密钥,然后使用被分享人的公钥加密数据密钥并分享。被分享人在客户端用私钥解密出数据密钥,通过分享链接下载文件,然后解密文件。（4）基于属性加密算法,在Ceph安全存储系统客户端实现面向群组分享加密文件。用户可以创建多个群组用于面向群组共享加密文件。群组拥有一个共享空间用于存放共享文件,文件的数据密钥基于群组属性加密,只有隶属该群组的用户才可以从群组共享空间下载解密共享文件,从而实现群组分享和访问控制。（5）对Ceph安全存储系统的各个模块的核心功能和系统性能测试分析,系统具有良好的安全性和性能。