一种基于HDFS的云存储访问控制方法技术

本发明专利技术公开了一种基于HDFS的云存储访问控制方法，该方法包括访问控制安全设计模块，权限判定算法模块，多用户数据的隔离与共享模块，基于HDFS云存储系统访问控制的实现模块四个方面；其中，访问控制安全模块包括依据传统RBAC来定义；权限判定算法模块包括根据所定义的算法，判定主体是否有权限访问所对应的客体，实现云存储的安全访问；多用户隔离与共享设计模块包括在基于HDFS的云存储系统中，实现多用户的数据隔离与共享；基于HDFS云存储系统访问控制模块包括Hadoop集群的搭建，安全控制模块的部署，建立云存储系统的安全体系架构。本发明专利技术应用在基于HDFS的云存储平台，通过对云存储系统的安全性和性能分析，能够有效地实现多用户的数据隔离与共享。

【技术实现步骤摘要】

【技术保护点】
一种基于HDFS的云存储访问控制方法，其特征在于该方法包括以下具体步骤：a）、建立云存储系统访问控制模型基于传统的RBAC访问控制模型，将RBAC构建在基于HDFS的云存储访问控制系统中，RBAC中要素包括：主体、角色、客体、权限；使用主体安全标签、客体安全标签来描述主客体，采用权限判定算法实现主体对客体的安全访问，其定义如下：ⅰ）主体安全标签：对于主体来说，每个主体能够拥有多个角色，主体的角色通过一个角色集来描述，它被定义为：；ⅱ）客体安全标签：采用标签集对客体进行标识，每个客体都能够通过一个标签集来描述，它被定义为：；为了实现灵活的安全访问控制，每个权限P都是由客体的标签以及逻辑运算符号组成的一个中序表达式，其中逻辑运算符号包括与(&&)、或(||)和非(!)；在基于HDFS的云存储系统中，所有对象的权限均能够由一个三元组（O ,T ,p）来表示，主体在系统中的访问规则用四元组（S ,O ,T ,p）来表示，其中S指主体，O指客体，T指访问类型，p指逻辑运算符；b）、权限判定算法       权限判定算法能够实现判定主体是否有权限访问客体，权限判定算法的定义：ⅰ）权限判定算法：权限表达式是一个由不同标签和逻辑运算符号组成的中序表达式，依据权限判定算法判定主体是否有权限访问客体，该算法分为三个步骤：Step 1：分解中序权限表达式并规范化该表达式；Step 2：根据Step 1的结果，将中序表达式转变为后序表达式；Step 3：根据对象的标签集TagSet，规范化Step 2中的表达式，计算权限表达式的值，若为true，则可以授权访问，否则不可以授权访问；c）、基于共享组实现数据共享在云存储管理系统中，一个文件或者文件夹与其拥有者相关联，并且该文件或者文件夹关联了用户的访问权限，如果用户A要实现与用户B的数据共享，用户A需要创建一个共享组G，将用户A以及用户A对数据的权限关联到组G，同样，用户A需要邀请B关联到组G，通过采用LDAP目录获取组，从而通过组映射服务来确定主体的组列表；d）、建立基于HDFS云存储系统安全控制模型建立基于HDFS云存储系统的访问控制模型，该云存储系统以主/从分布式架构为基础，它包括一个NameNode和多个DataNode，将安全控制模块建立为基于HDFS云存储系统的核心，为了能够判断主体是否有权限访问客体，安全控制模块需要获得主体安全标签和客体安全标签，这些信息被储存在NameNode上，在NameNode的服务器端，用户请求访问的数据，安全访问控制模块授权用户访问并指定数据在DataNode的位置；为了保证数据的安全性，云存储平台采用HDFS的数据传输加密，通过将属性dfs.encrypt.data.transfer设置为true，能够实现数据传输加密，其他的相关属性均需要在配置文件core‑site.xml中设置。...

【技术特征摘要】

【专利技术属性】
技术研发人员：张非凡，顾君忠，王永明，陈继智，
申请(专利权)人：华东师范大学，
类型：发明
国别省市：上海;31