基于客户访问限制的认证制造技术

描述了实现对分布式文件系统的访问控制的系统、计算机程序产品和方法。文件系统执行点通过认证从客户端提交请求的任务的所声明的身份来保护HDFS免受未授权访问。在接收到请求之后，文件系统执行点向客户端提交请求任务提供所声明的身份的凭证的挑战。该任务提交凭证。在客户端上，每个任务都具有对任务的真实身份的凭证访问权。因此，在任务提交与任务的真实身份不同的所声明的身份的情况下，任务不能响应于挑战而提交正确的凭证。文件系统执行点使用所提交的凭证来对所声明的身份进行认证。文件系统执行点允许客户端仅在成功认证时才能访问HDFS。

Authentication based on customer access restriction

This paper describes the system, computer program products and methods of access control for distributed file system. The file system execution point protects HDFS from unauthorized access by authenticating the claimed identity of the task submitted from the client. After receiving the request, the file system execution point submits the request task to the client to provide the credentials of the claimed identity. The task submits credentials. On the client side, each task has credential access to the real identity of the task. Therefore, when a task submits a different declared identity than the real identity of the task, the task cannot submit the correct credentials in response to the challenge. The file system execution point uses the submitted credentials to authenticate the claimed identity. The file system execution point allows clients to access HDFS only if they are successfully authenticated.

【技术实现步骤摘要】
【国外来华专利技术】基于客户访问限制的认证相关申请的交叉引用本申请是临时申请，并且要求于2017年2月10日提交的美国临时专利申请号62/457,772和于2017年7月21日提交的美国实用申请号15/657,033的优先权，这两个申请的全部内容通过引用并入本文。
技术介绍
是一种被配置为使用分布式计算框架来存储和处理数据的系统。在ApacheHadoop中，文件可以被存储在Hadoop分布式文件系统(HDFS)中。HDFS是一种可以部署在多个现成的计算机上的分布式文件系统。计算机被指定为在一个或多个集群中组织的节点。HDFS集群中的节点包括名称节点和多个数据节点。数据节点被配置为服务于来自HDFS集群的客户端的读取和写入请求。名称节点被配置为管理集群，包括控制客户端对数据节点上的文件的访问。HDFS集群的安全治理可以包括认证和授权。认证可以包括确定向HDFS集群提交请求的用户是否是用户所声称的用户。授权可以包括确定经过认证的用户可以在HDFS集群中执行的哪些操作。
技术实现思路
通常，本说明书涉及数据安全性和访问控制。描述了实现对分布式文件系统的访问控制的系统、计算机程序产品和方法。文件系统执行点通过认证从客户端提交请求的任务的所声明的身份来保护HDFS免受未授权访问。在接收到请求之后，文件系统执行点向客户端提交请求任务提供所声明的身份的凭证的挑战。该任务提交凭证。在客户端上，每个任务都具有对任务的真实身份的凭证的访问权。因此，在任务提交与任务的真实身份不同的所声称的身份的情况下，任务不能响应于挑战而提交正确的凭证。文件系统执行点使用所提交的凭证来对所声明的身份进行认证。文件系统执行点允许客户端仅在成功认证时才能访问HDFS。本说明书中描述的主题内容的特定实施例可以被实施以实现以下示例优点中的一个或多个优点。常规情况下，认证访问HDFS的请求可能太弱或太复杂。所公开的技术使用客户端系统的固有安全性措施来提供简单且有效的认证。因此，不需要可能增加复杂性的外部附加认证。所公开的技术可以使用基于Linux的安全性来硬化分布式文件系统。因此，所公开的技术使得对分布式文件系统的攻击无法实现。在附图和以下描述中阐述了本说明书的主题内容的一个或多个实施例的细节。根据本说明书、附图和权利要求，主题内容的其他特征、方面和优点将变得很清楚。附图说明图1是图示示例分布式文件系统的常规数据访问控制技术的框图。图2是图示基于客户端访问限制的认证的示例数据访问控制技术的框图。图3是图示示例文件系统客户端的框图。图4是基于客户端访问限制的认证的示例过程的流程图。各个附图中的相同的附图标记和名称指示相同的元件。具体实施方式图1是图示示例分布式文件系统102的常规数据访问控制的框图。分布式文件系统102可以是HDFS。分布式文件系统102包括管理数据存储装置的多个计算机。计算机被指定为组织成集群的节点。分布式文件系统102包括名称节点104、第一数据节点108和第二数据节点110。名称节点104与存储系统信息的元数据存储装置112相关联。数据节点108和110分别与第一数据存储装置114和第二数据存储装置116相关联。数据存储装置114和116存储数据。文件系统客户端118被配置为访问存储在数据存储装置114和116中的数据。文件系统客户端118可以包括一个或多个计算机，该一个或多个计算机被配置为Hadoop系统中的计算节点，该Hadoop系统执行映射阶段或减少数据处理的阶段。文件系统客户端118向分布式文件系统102提交请求。该请求与所声明的身份(例如用户Alice)相关联。名称节点104接收请求并且认证所声明的身份。名称节点104可以使用的一些示例认证技术包括简单认证和Kerberos认证。在简单认证中，名称节点104信任所声明的身份。由简单认证提供的保护级别很低。在Kerberos认证中，名称节点104基于与请求相关联的票据来认证所声明的身份。文件系统客户端118可以在向认证服务器认证自身时从认证服务器获得票据。Kerberos认证设置可能很复杂。在认证之后，名称节点104将数据节点信息提供给文件系统客户端118。数据节点信息可以包括例如对数据节点108和110的引用，数据节点108和110存储有所请求的数据。文件系统客户端118可以根据数据访问信息来访问数据。图2是图示基于客户端访问限制的认证的示例数据访问控制技术的框图。作为分布式文件系统102的客户端的文件系统客户端202向分布式文件系统102提交访问存储在分布式文件系统102上的数据的请求204。请求204与所声明的身份(例如用户Alice)相关联。文件系统执行点206充当在文件系统客户端202与分布式文件系统102之间的中介。文件系统执行点206包括一个或多个计算机，该一个或多个计算机被配置为执行除由分布式文件系统102的名称节点104执行的简单和/或Kerberos认证之外或者代替由分布式文件系统102的名称节点104执行的简单和/或Kerberos认证的基于客户端访问限制的认证。文件系统执行点206接收请求204，并且向文件系统客户端202发出挑战208。挑战208可以是安全的HTTP请求。挑战208请求文件系统客户端202提供与与请求204相关联的所声明的身份相对应的凭证。文件系统执行点206信任文件系统客户端202能够提供仅与真实身份相关联的凭证。例如，当所声明的身份是Alice时，挑战208请求文件系统客户端202提供与Alice相关联的凭证。文件系统执行点206信任文件系统客户端202不提供不同用户Bob的凭证。文件系统执行点206接收来自文件系统客户端202的响应于挑战208的凭证。然后，文件系统执行点206通过验证凭证确实对应于所声明的身份Alice来认证所声明的身份Alice。在成功认证之后，文件系统执行点206将请求204转发到名称节点104。名称节点104直接或通过文件系统执行点206向文件系统客户端202提供数据节点信息。文件系统客户端202然后可以使用数据节点信息直接或通过附加认证来通过文件系统执行点206访问数据。在所示示例中，文件系统执行点206在分布式文件系统102之外实现。在各种实施方式中，文件系统执行点206可以并入分布式文件系统102中。图3是图示示例文件系统客户端202的框图。文件系统客户端202包括一个或多个计算机。文件系统客户端202可以是Hadoop系统中的计算节点。文件系统客户端202包括用户凭证存储库302或与其通信。用户凭证存储库302存储可以用于认证用户的用户凭证，例如加密的密码或其他秘密。在所示示例中，用户凭证存储库302存储第一用户(例如，Alice)的第一用户凭证306。用户凭证存储库302存储第二用户(例如，Bob)的第二用户凭证308。用户(例如，Alice或Bob)可以对应于文件系统客户端202的注册用户列表中的记录。例如，每个用户可以对应于基于UNIX或Linux的系统中的.passwd文件中的行。用户凭证存储库302保证仅具有超级用户权限的帐户或给定凭证的所有者可以访问给定凭证。具有超级用户权限的帐户可以是管理员帐户、系统根，或者在UNIX或类UNIX系统的情况下，可以是帐户标识符为零的帐户。在该示例中，用户凭证存本文档来自技高网...

【技术保护点】
1.一种方法，包括：由文件系统执行点从文件系统客户端接收访问分布式文件系统的请求，所述请求由与所声明的身份相关联的任务提交；由所述文件系统执行点向所述文件系统客户端提交访问与所述所声明的身份相关联的凭证的挑战，所述凭证被存储在存储系统中的路径中，所述路径只由具有超级用户权限的帐户或由关联于与所述所声明的身份相匹配的真实身份的任务可访问，所述挑战请求与所述所声明的身份相关联的所述任务访问与所述所声明的身份相关联的凭证；由所述文件系统执行点从所述文件系统客户端接收对所述挑战的响应，所述响应包括由与所述所声明的身份相关联的所述任务在所述路径处取回的所述凭证；以及在由所述文件系统执行点使用所取回的所述凭证认证所述所声明的身份时，允许访问所述分布式文件系统的所述请求，其中所述文件系统执行点包括一个或多个计算机处理器。

【技术特征摘要】
【国外来华专利技术】2017.02.10 US 62/457,772;2017.07.21 US 15/657,0331.一种方法，包括：由文件系统执行点从文件系统客户端接收访问分布式文件系统的请求，所述请求由与所声明的身份相关联的任务提交；由所述文件系统执行点向所述文件系统客户端提交访问与所述所声明的身份相关联的凭证的挑战，所述凭证被存储在存储系统中的路径中，所述路径只由具有超级用户权限的帐户或由关联于与所述所声明的身份相匹配的真实身份的任务可访问，所述挑战请求与所述所声明的身份相关联的所述任务访问与所述所声明的身份相关联的凭证；由所述文件系统执行点从所述文件系统客户端接收对所述挑战的响应，所述响应包括由与所述所声明的身份相关联的所述任务在所述路径处取回的所述凭证；以及在由所述文件系统执行点使用所取回的所述凭证认证所述所声明的身份时，允许访问所述分布式文件系统的所述请求，其中所述文件系统执行点包括一个或多个计算机处理器。2.根据权利要求1所述的方法，其中所述分布式文件系统是Hadoop分布式文件系统(HDFS)，并且所述文件系统客户端是分布式计算系统的计算节点。3.根据权利要求1所述的方法，其中对每个访问会话进行一次认证所述所声明的身份。4.根据权利要求1所述的方法，其中认证所述所声明的身份包括：由所述文件系统执行点通过具有超级用户权限的帐户来取回被存储在所述路径中的所述凭证；将所取回的所述凭证与所述响应中的所述凭证进行比较；以及在确定所取回的所述凭证与所述响应中的所述凭证相匹配时，对所述所声明的身份进行认证。5.根据权利要求1所述的方法，其中所述路径是多个凭证路径中的存储对应用户的凭证的凭证路径，所述文件系统客户端防止与所述真实身份相关联的所述任务访问另外的凭证路径。6.根据权利要求1所述的方法，其中所述路径包括一个或多个文件目录名。7.一种方法，包括：由文件系统执行点从文件系统客户端接收访问分布式文件系统的第一请求，所述请求与所声明的身份和所述所声明的身份的所声称的凭证相关联；由所述文件系统执行点向凭证存储系统提交访问与所述所声明的身份相关联的凭证的第二请求，所述凭证由所述凭证存储系统提供的安全措施来保护；由所述文件系统执行点从所述凭证存储系统接收对所述第二请求的响应，所述响应包括与所述所声明的身份相关联的所述凭证；以及在由所述文件系统执行点使用所取回的所述凭证对照所述所声称的凭证认证所述所声明的身份时，允许访问所述分布式文件系统的所述第一请求，其中所述文件系统执行点包括一个或多个计算机处理器。8.根据权利要求7所述的方法，其中所述凭证存储系统包括所述所声明的身份的目录，其中对所述目录的访问被所述安全措施限制到所述所声明的身份或超级用户，并且其中所述安全措施由所述凭证存储系统的操作系统指定。9.根据权利要求8所述的方法，其中所述凭证存储系统是所述文件系统客户端的一部分。10.一种方法，包括：由文件系统执行点从文件系统客户端接收访问分布式文件系统的请求，所述请求与所声明的身份和所述所声明的身份的所声称的凭证相关联；由所述文件系统执行点向外部系统转发与所述所声明的身份相关联的所述所声称的凭证，所述外部系统被配置为通过确定所声称的凭证对照被存储在外部系统中的凭证的匹配来认证所述所声明的身份；从所述外部系统接收指示所述所声...

【专利技术属性】
技术研发人员：D·D·M·阿鲁穆加姆，P·穆朱姆达，P·沃玛，
申请(专利权)人：布鲁塔隆公司，
类型：发明
国别省市：美国,US