The present invention relates to an access control method for distributed storage in a cloud environment. This method is based on the HDFS distributed file system of Hadoop cluster, and on the basis of the basic cloud storage system, the security access control function is added. Break through a Ranger cloud storage system access control technology, the role of the construction of fine-grained access control and authorization system based on the cloud storage system of different levels or types of information can be reliably supports effective isolation and integrity protection, implementation of cloud data isolation. Through Kerberos, we break through the access control of specific data nodes in cloud storage system, and solve the problem of access control between Hadoop cluster, client and management nodes, management nodes, data nodes and data nodes.
【技术实现步骤摘要】
一种云环境下分布式存储的访问控制方法
本专利技术涉及一种云环境下分布式存储的访问控制方法,属于云环境下安全访问的
技术介绍
云计算(CloudComputing)是基于互联网的相关服务增加、使用和交付模式,它是在并行处理、分布式计算、网格计算等技术基础上逐步融合发展起来的网络计算技术。云计算最初于2008年由谷歌正式提出。对云计算的定义说法多样,美国国家标准与技术研究院(NIST)定义:云计算是一种为随时随地、方便、请求即响应(on-demand)地访问可配置计算的共享资源池(如:网络、服务、存储、应用)的一种计算模式,这种模式可以减少用户在快速获得和释放资源时与服务提供者的交互和管理开销。在云计算模式下,用户终端设备将会变得非常简单,因为用户只需要发送请求便可以由云服务提供商提供“按需收费”的计算资源、存储空间和其他的应用软件等。云计算已经广泛应用到各个领域,包括:云物联、云安全、云存储、移动通信等。分布式存储是将大量的普通的PC服务器通过互联网互联,对外作为一个整体提供服务。当前云计算、大数据环境下,分布式存储系统以其扩展性好、成本低、性能高、易用性等特点得到了大规模的应用。分布式文件系统就是部署在分布式存储资源上的架构。分布式文件系统(DistributedFileSystem,DFS)主要指将分布式的思想应用到文件存储上,这里,所有资源都以文件的形式存放在一些具体的物理机器的存储设备上,而这些物理机器或许是物理位置不同的物理设备。同时,这种分布式的存储机制和流程,对于用户而言是透明的。常见的分布式文件系统包括:Lustre、HDFS、Fa ...
【技术保护点】
一种云环境下分布式存储的访问控制方法,其特征在于,基于Ranger框架和Kerberos实现;Ranger框架包括Ranger Admin组件、Ranger plugin组件和Ranger Usersync组件;Kerberos的组件包括KDC和协助工具ks_tool;具体的功能实现步骤如下:A、基于用户的访问控制A1、部署Hadoop集群;Hadoop集群包括至少一个Master节点和多个slave节点;A2、部署Ranger框架的组件;其中Ranger admin组件部署在slave节点上,Ranger Plugin组件和UserSync组件部署在Master节点上;将系统用户更新到Ranger admin组件中,并以mysql数据库作为Ranger框架的策略与审计日志的存储载体;A3、在Ranger admin组件中,对HDFS定义local_hdfs服务;Ranger admin组件为local_hdfs服务定制访问策略,实现对策略访问路径、策略发生作用的User/Group及User/Group应被赋予的权限的设置;A4、local_hdfs服务的访问策略通过Ranger P ...
【技术特征摘要】
1.一种云环境下分布式存储的访问控制方法,其特征在于,基于Ranger框架和Kerberos实现;Ranger框架包括RangerAdmin组件、Rangerplugin组件和RangerUsersync组件;Kerberos的组件包括KDC和协助工具ks_tool;具体的功能实现步骤如下:A、基于用户的访问控制A1、部署Hadoop集群;Hadoop集群包括至少一个Master节点和多个slave节点;A2、部署Ranger框架的组件;其中Rangeradmin组件部署在slave节点上,RangerPlugin组件和UserSync组件部署在Master节点上;将系统用户更新到Rangeradmin组件中,并以mysql数据库作为Ranger框架的策略与审计日志的存储载体;A3、在Rangeradmin组件中,对HDFS定义local_hdfs服务;Rangeradmin组件为local_hdfs服务定制访问策略,实现对策略访问路径、策略发生作用的User/Group及User/Group应被赋予的权限的设置;A4、local_hdfs服务的访问策略通过RangerPlugin组件更新到HDFS中,实现系统用户对策略访问路径的特定访问权限;同时,RangerPlugin组件将系统用户对HDFS的访问日志同步到Rangeradmin组件中,形成审计日志,用于检测用户访问的足迹;B、Hadoop集群内部认证控制B1、当系统用户访问DataNode或NameNode服务器时,首先向AS发出请求,表明自己的身份,请求TGT;所述请求包括系统用户的name/ID、系统用户IP地址和TGT的有效时间;B2、AS收到请求后,首先去mysql数据库中验证该系统用户是否存在;如果系统用户存在,则返回两部分信息给系统用户:一部分信息为TGT,该信息通过KDC自身的密码进行加密;另一部分信息为经系统用户的密钥加密的信息,包括TGS的name/ID、时间戳、TGT的生命周期和TGSsessionkey;B3、系统用户向TGS发送请求,请求获得ST;请求包括,使用TGSsessionkey加密的认证器、明文传输的特定服务的请求和TGT;B4、TGS对请求进行验证;验证包括,对比TGT中的用户名和认证器中的用户名;比较时间戳,检查时间戳是否过期,检查IP地址是否一致;检查认证器是否已经在TGS缓存中;验证通过后,向系统用户发送...
【专利技术属性】
技术研发人员:张卫品,戴鸿君,崔立真,
申请(专利权)人:山东大学,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。