一种基于hdfs的云存储访问控制方法
【专利摘要】本发明公开了一种基于HDFS的云存储访问控制方法,该方法包括访问控制安全设计模块,权限判定算法模块,多用户数据的隔离与共享模块,基于HDFS云存储系统访问控制的实现模块四个方面;其中,访问控制安全模块包括依据传统RBAC来定义;权限判定算法模块包括根据所定义的算法,判定主体是否有权限访问所对应的客体,实现云存储的安全访问;多用户隔离与共享设计模块包括在基于HDFS的云存储系统中,实现多用户的数据隔离与共享;基于HDFS云存储系统访问控制模块包括Hadoop集群的搭建,安全控制模块的部署,建立云存储系统的安全体系架构。本发明应用在基于HDFS的云存储平台,通过对云存储系统的安全性和性能分析,能够有效地实现多用户的数据隔离与共享。
【专利说明】-种基于HDFS的云存储访问控制方法
【技术领域】
[0001] 本发明涉及云存储、访问控制、信息安全等【技术领域】,具体地说是一种基于HDFS 作为云存储平台,根据本文所制定的基于HDFS的云存储访问控制方法,判定用户是否有指 定数据的访问权限,实现多用户之间数据的隔离与共享。
【背景技术】
[0002] 云计算作为一种新的商业模式,彻底地改变了人们对基础架构、软件分发、开发模 式、数据存储等的理解。云计算采用按需付费(pay as you go)的模式,用户可以从云服务 提供商(Cloud Service Provider, CSP)得到近乎无限的存储空间和企业级服务质量。因 此,它可以帮助企业和政府降低数据存储和数据管理的成本开销。云存储是基于云计算的 存储扩展,它是一种新的存储技术,它包括集群应用、网格技术和分布式文件系统,该系统 通过不同类型的网络存储设备提供数据存储和业务访问。随着云存储技术的发展,越来越 多的个人和企业采用云存储系统来部署他们的业务。
[0003] 然而,云存储也面临着各种各样的挑战,一个最重要的问题就是数据的安全性,未 经授权的访问会影响到数据的保密性和完整性。由于Hadoop设计之初是在可信环境中的 商用服务器上组织大量数据,因此安全性一直不是其开发中的一个驱动因素,随着Hadoop 越来越流行,与其相关的安全访问控制技术越来越受到研究人员的重视,如何在云存储平 台上保护用户的数据隐私,实现用户对数据的安全访问控制成为云存储领域的最重要的研 究问题之一。
【发明内容】
[0004] 本发明的目的是针对现有技术的不足而提供的一种基于HDFS (Hadoop Distributed File System)的云存储访问控制技术的方法,该方法基于传统的RBAC (Role-Based Access Control)的访问控制模型,将RBAC模型应用于基于HDFS的云存储 平台,依据权限判定算法实现云存储上文件级别的隔离;其次,在基于Linux系统对用户划 分的基础上,提出共享组的概念来实现多用户之间的数据共享;最后构建一个基于HDFS的 云存储系统,通过对其安全性和性能的分析,表明本方法能够有效地实现用户数据的访问 控制。
[0005] 本发明的目的是这样实现的: 一种基于HDFS的云存储访问控制方法,该方法包括以下具体步骤: a )、建立云存储系统访问控制模型 基于传统的RBAC访问控制模型,将RBAC构建在基于HDFS的云存储访问控制系统中, RBAC中要素包括:主体⑶、角色(R)、客体(0)、权限⑵;使用主体安全标签(SSL)、客体安 全标签(0SL)来描述主客体,采用权限判定算法(Permission Judging Algorithm, PJA) 实现主体对客体的安全访问,其定义如下: i )主体安全标签(SSL):对于主体来说,每个主体能够拥 有多个角色,主体的角色通过一个角色集来描述,它被定义为:
【权利要求】
1. 一种基于HDFS的云存储访问控制方法,其特征在于该方法包括以下具体步骤: a)、建立云存储系统访问控制模型 基于传统的RBAC访问控制模型,将RBAC构建在基于HDFS的云存储访问控制系统中,RBAC中要素包括:主体、角色、客体、权限;使用主体安全标签、客体安全标签来描述主客 体,采用权限判定算法实现主体对客体的安全访问,其定义如下: i)主体安全标签:对于主体来说,每个主体能够拥有 多个角色,主体的角色通过一个角色集来描述,它被定义为:
为了实现灵活的安全访问控制,每个权限P都是由客体的标签以及逻辑运算符号组成 的一个中序表达式,其中逻辑运算符号包括与(&&)、或(II)和非(!); 在基于HDFS的云存储系统中,所有对象的权限均能够由一个三元组(0,T,p)来表示, 主体在系统中的访问规则用四元组(S,0,T,p)来表示,其中S指主体,0指客体,T指访 问类型,P指逻辑运算符; b)、权限判定算法 权限判定算法能够实现判定主体是否有权限访问客体,权限判定算法的定义:i)权限判定算法:权限表达式是一个由不同标签和逻辑运算符号组成的中序表达式, 依据权限判定算法判定主体是否有权限访问客体,该算法分为三个步骤: Step1 :分解中序权限表达式并规范化该表达式; St印2 :根据St印1的结果,将中序表达式转变为后序表达式; Step3:根据对象的标签集TagSet,规范化Step2中的表达式,计算权限表达式的值, 若为true,则可以授权访问,否则不可以授权访问; c)、基于共享组实现数据共享 在云存储管理系统中,一个文件或者文件夹与其拥有者相关联,并且该文件或者文件 夹关联了用户的访问权限,如果用户A要实现与用户B的数据共享,用户A需要创建一个共 享组G,将用户A以及用户A对数据的权限关联到组G,同样,用户A需要邀请B关联到组G, 通过采用LDAP目录获取组,从而通过组映射服务来确定主体的组列表; d)、建立基于HDFS云存储系统安全控制模型 建立基于HDFS云存储系统的访问控制模型,该云存储系统以主/从分布式架构为基 础,它包括一个NameNode和多个DataNode,将安全控制模块建立为基于HDFS云存储系统的 核心,为了能够判断主体是否有权限访问客体,安全控制模块需要获得主体安全标签和客 体安全标签,这些信息被储存在NameNode上,在NameNode的服务器端,用户请求访问的数 据,安全访问控制模块授权用户访问并指定数据在DataNode的位置;为了保证数据的安全 性,云存储平台采用HDFS的数据传输加密,通过将属性dfs.encrypt,data,transfer设置 为true,能够实现数据传输加密,其他的相关属性均需要在配置文件core-site,xml中设 置。
【文档编号】H04L29/08GK104506514SQ201410786428
【公开日】2015年4月8日 申请日期:2014年12月18日 优先权日:2014年12月18日
【发明者】张非凡, 顾君忠, 王永明, 陈继智 申请人:华东师范大学