一種基於hdfs的雲存儲訪問控制方法

2023-10-09 01:55:39

一種基於hdfs的雲存儲訪問控制方法
【專利摘要】本發明公開了一種基於HDFS的雲存儲訪問控制方法，該方法包括訪問控制安全設計模塊，權限判定算法模塊，多用戶數據的隔離與共享模塊，基於HDFS雲存儲系統訪問控制的實現模塊四個方面；其中，訪問控制安全模塊包括依據傳統RBAC來定義；權限判定算法模塊包括根據所定義的算法，判定主體是否有權限訪問所對應的客體，實現雲存儲的安全訪問；多用戶隔離與共享設計模塊包括在基於HDFS的雲存儲系統中，實現多用戶的數據隔離與共享；基於HDFS雲存儲系統訪問控制模塊包括Hadoop集群的搭建，安全控制模塊的部署，建立雲存儲系統的安全體系架構。本發明應用在基於HDFS的雲存儲平臺，通過對雲存儲系統的安全性和性能分析，能夠有效地實現多用戶的數據隔離與共享。
【專利說明】-種基於HDFS的雲存儲訪問控制方法

【技術領域】
[0001] 本發明涉及雲存儲、訪問控制、信息安全等【技術領域】，具體地說是一種基於HDFS 作為雲存儲平臺，根據本文所制定的基於HDFS的雲存儲訪問控制方法，判定用戶是否有指 定數據的訪問權限，實現多用戶之間數據的隔離與共享。

【背景技術】
[0002] 雲計算作為一種新的商業模式，徹底地改變了人們對基礎架構、軟體分發、開發模 式、數據存儲等的理解。雲計算採用按需付費（pay as you go)的模式，用戶可以從雲服務 提供商（Cloud Service Provider, CSP)得到近乎無限的存儲空間和企業級服務質量。因 此，它可以幫助企業和政府降低數據存儲和數據管理的成本開銷。雲存儲是基於雲計算的 存儲擴展，它是一種新的存儲技術，它包括集群應用、網格技術和分布式文件系統，該系統 通過不同類型的網絡存儲設備提供數據存儲和業務訪問。隨著雲存儲技術的發展，越來越 多的個人和企業採用雲存儲系統來部署他們的業務。
[0003] 然而，雲存儲也面臨著各種各樣的挑戰，一個最重要的問題就是數據的安全性，未 經授權的訪問會影響到數據的保密性和完整性。由於Hadoop設計之初是在可信環境中的 商用伺服器上組織大量數據，因此安全性一直不是其開發中的一個驅動因素，隨著Hadoop 越來越流行，與其相關的安全訪問控制技術越來越受到研究人員的重視，如何在雲存儲平 臺上保護用戶的數據隱私，實現用戶對數據的安全訪問控制成為雲存儲領域的最重要的研 究問題之一。


【發明內容】

[0004] 本發明的目的是針對現有技術的不足而提供的一種基於HDFS (Hadoop Distributed File System)的雲存儲訪問控制技術的方法，該方法基於傳統的RBAC (Role-Based Access Control)的訪問控制模型，將RBAC模型應用於基於HDFS的雲存儲 平臺，依據權限判定算法實現雲存儲上文件級別的隔離；其次，在基於Linux系統對用戶劃 分的基礎上，提出共享組的概念來實現多用戶之間的數據共享；最後構建一個基於HDFS的 雲存儲系統，通過對其安全性和性能的分析，表明本方法能夠有效地實現用戶數據的訪問 控制。
[0005] 本發明的目的是這樣實現的： 一種基於HDFS的雲存儲訪問控制方法，該方法包括以下具體步驟： a )、建立雲存儲系統訪問控制模型 基於傳統的RBAC訪問控制模型，將RBAC構建在基於HDFS的雲存儲訪問控制系統中， RBAC中要素包括：主體⑶、角色（R)、客體（0)、權限⑵；使用主體安全標籤（SSL)、客體安 全標籤（0SL)來描述主客體，採用權限判定算法（Permission Judging Algorithm, PJA) 實現主體對客體的安全訪問，其定義如下： i )主體安全標籤（SSL):對於主體來說，每個主體能夠擁 有多個角色，主體的角色通過一個角色集來描述，它被定義為：

【權利要求】
1. 一種基於HDFS的雲存儲訪問控制方法，其特徵在於該方法包括以下具體步驟： a)、建立雲存儲系統訪問控制模型 基於傳統的RBAC訪問控制模型，將RBAC構建在基於HDFS的雲存儲訪問控制系統中，RBAC中要素包括：主體、角色、客體、權限；使用主體安全標籤、客體安全標籤來描述主客 體，採用權限判定算法實現主體對客體的安全訪問，其定義如下： i)主體安全標籤：對於主體來說，每個主體能夠擁有 多個角色，主體的角色通過一個角色集來描述，它被定義為：
為了實現靈活的安全訪問控制，每個權限P都是由客體的標籤以及邏輯運算符號組成 的一個中序表達式，其中邏輯運算符號包括與（&&)、或（II)和非（!）； 在基於HDFS的雲存儲系統中，所有對象的權限均能夠由一個三元組（0，T，p)來表示， 主體在系統中的訪問規則用四元組（S，0，T，p)來表示，其中S指主體，0指客體，T指訪 問類型，P指邏輯運算符； b)、權限判定算法 權限判定算法能夠實現判定主體是否有權限訪問客體，權限判定算法的定義：i)權限判定算法：權限表達式是一個由不同標籤和邏輯運算符號組成的中序表達式， 依據權限判定算法判定主體是否有權限訪問客體，該算法分為三個步驟： Step1 :分解中序權限表達式並規範化該表達式； St印2 :根據St印1的結果，將中序表達式轉變為後序表達式； Step3:根據對象的標籤集TagSet,規範化Step2中的表達式，計算權限表達式的值， 若為true，則可以授權訪問，否則不可以授權訪問； c)、基於共享組實現數據共享 在雲存儲管理系統中，一個文件或者文件夾與其擁有者相關聯，並且該文件或者文件 夾關聯了用戶的訪問權限，如果用戶A要實現與用戶B的數據共享，用戶A需要創建一個共 享組G，將用戶A以及用戶A對數據的權限關聯到組G，同樣，用戶A需要邀請B關聯到組G， 通過採用LDAP目錄獲取組，從而通過組映射服務來確定主體的組列表； d)、建立基於HDFS雲存儲系統安全控制模型 建立基於HDFS雲存儲系統的訪問控制模型，該雲存儲系統以主/從分布式架構為基 礎，它包括一個NameNode和多個DataNode，將安全控制模塊建立為基於HDFS雲存儲系統的 核心，為了能夠判斷主體是否有權限訪問客體，安全控制模塊需要獲得主體安全標籤和客 體安全標籤，這些信息被儲存在NameNode上，在NameNode的伺服器端，用戶請求訪問的數 據，安全訪問控制模塊授權用戶訪問並指定數據在DataNode的位置；為了保證數據的安全 性，雲存儲平臺採用HDFS的數據傳輸加密，通過將屬性dfs.encrypt,data,transfer設置 為true,能夠實現數據傳輸加密，其他的相關屬性均需要在配置文件core-site,xml中設 置。
【文檔編號】H04L29/08GK104506514SQ201410786428
【公開日】2015年4月8日 申請日期:2014年12月18日 優先權日:2014年12月18日
【發明者】張非凡, 顧君忠, 王永明, 陳繼智 申請人:華東師範大學