This paper describes the system, computer program products and methods of access control for distributed file system. The file system execution point protects HDFS from unauthorized access by authenticating the claimed identity of the task submitted from the client. After receiving the request, the file system execution point submits the request task to the client to provide the credentials of the claimed identity. The task submits credentials. On the client side, each task has credential access to the real identity of the task. Therefore, when a task submits a different declared identity than the real identity of the task, the task cannot submit the correct credentials in response to the challenge. The file system execution point uses the submitted credentials to authenticate the claimed identity. The file system execution point allows clients to access HDFS only if they are successfully authenticated.
【技术实现步骤摘要】
【国外来华专利技术】基于客户访问限制的认证相关申请的交叉引用本申请是临时申请,并且要求于2017年2月10日提交的美国临时专利申请号62/457,772和于2017年7月21日提交的美国实用申请号15/657,033的优先权,这两个申请的全部内容通过引用并入本文。
技术介绍
是一种被配置为使用分布式计算框架来存储和处理数据的系统。在ApacheHadoop中,文件可以被存储在Hadoop分布式文件系统(HDFS)中。HDFS是一种可以部署在多个现成的计算机上的分布式文件系统。计算机被指定为在一个或多个集群中组织的节点。HDFS集群中的节点包括名称节点和多个数据节点。数据节点被配置为服务于来自HDFS集群的客户端的读取和写入请求。名称节点被配置为管理集群,包括控制客户端对数据节点上的文件的访问。HDFS集群的安全治理可以包括认证和授权。认证可以包括确定向HDFS集群提交请求的用户是否是用户所声称的用户。授权可以包括确定经过认证的用户可以在HDFS集群中执行的哪些操作。
技术实现思路
通常,本说明书涉及数据安全性和访问控制。描述了实现对分布式文件系统的访问控制的系统、计算机程序产品和方法。文件系统执行点通过认证从客户端提交请求的任务的所声明的身份来保护HDFS免受未授权访问。在接收到请求之后,文件系统执行点向客户端提交请求任务提供所声明的身份的凭证的挑战。该任务提交凭证。在客户端上,每个任务都具有对任务的真实身份的凭证的访问权。因此,在任务提交与任务的真实身份不同的所声称的身份的情况下,任务不能响应于挑战而提交正确的凭证。文件系统执行点使用所提交的凭证来对所声明的身份进行认证。文件系统执行 ...
【技术保护点】
1.一种方法,包括:由文件系统执行点从文件系统客户端接收访问分布式文件系统的请求,所述请求由与所声明的身份相关联的任务提交;由所述文件系统执行点向所述文件系统客户端提交访问与所述所声明的身份相关联的凭证的挑战,所述凭证被存储在存储系统中的路径中,所述路径只由具有超级用户权限的帐户或由关联于与所述所声明的身份相匹配的真实身份的任务可访问,所述挑战请求与所述所声明的身份相关联的所述任务访问与所述所声明的身份相关联的凭证;由所述文件系统执行点从所述文件系统客户端接收对所述挑战的响应,所述响应包括由与所述所声明的身份相关联的所述任务在所述路径处取回的所述凭证;以及在由所述文件系统执行点使用所取回的所述凭证认证所述所声明的身份时,允许访问所述分布式文件系统的所述请求,其中所述文件系统执行点包括一个或多个计算机处理器。
【技术特征摘要】
【国外来华专利技术】2017.02.10 US 62/457,772;2017.07.21 US 15/657,0331.一种方法,包括:由文件系统执行点从文件系统客户端接收访问分布式文件系统的请求,所述请求由与所声明的身份相关联的任务提交;由所述文件系统执行点向所述文件系统客户端提交访问与所述所声明的身份相关联的凭证的挑战,所述凭证被存储在存储系统中的路径中,所述路径只由具有超级用户权限的帐户或由关联于与所述所声明的身份相匹配的真实身份的任务可访问,所述挑战请求与所述所声明的身份相关联的所述任务访问与所述所声明的身份相关联的凭证;由所述文件系统执行点从所述文件系统客户端接收对所述挑战的响应,所述响应包括由与所述所声明的身份相关联的所述任务在所述路径处取回的所述凭证;以及在由所述文件系统执行点使用所取回的所述凭证认证所述所声明的身份时,允许访问所述分布式文件系统的所述请求,其中所述文件系统执行点包括一个或多个计算机处理器。2.根据权利要求1所述的方法,其中所述分布式文件系统是Hadoop分布式文件系统(HDFS),并且所述文件系统客户端是分布式计算系统的计算节点。3.根据权利要求1所述的方法,其中对每个访问会话进行一次认证所述所声明的身份。4.根据权利要求1所述的方法,其中认证所述所声明的身份包括:由所述文件系统执行点通过具有超级用户权限的帐户来取回被存储在所述路径中的所述凭证;将所取回的所述凭证与所述响应中的所述凭证进行比较;以及在确定所取回的所述凭证与所述响应中的所述凭证相匹配时,对所述所声明的身份进行认证。5.根据权利要求1所述的方法,其中所述路径是多个凭证路径中的存储对应用户的凭证的凭证路径,所述文件系统客户端防止与所述真实身份相关联的所述任务访问另外的凭证路径。6.根据权利要求1所述的方法,其中所述路径包括一个或多个文件目录名。7.一种方法,包括:由文件系统执行点从文件系统客户端接收访问分布式文件系统的第一请求,所述请求与所声明的身份和所述所声明的身份的所声称的凭证相关联;由所述文件系统执行点向凭证存储系统提交访问与所述所声明的身份相关联的凭证的第二请求,所述凭证由所述凭证存储系统提供的安全措施来保护;由所述文件系统执行点从所述凭证存储系统接收对所述第二请求的响应,所述响应包括与所述所声明的身份相关联的所述凭证;以及在由所述文件系统执行点使用所取回的所述凭证对照所述所声称的凭证认证所述所声明的身份时,允许访问所述分布式文件系统的所述第一请求,其中所述文件系统执行点包括一个或多个计算机处理器。8.根据权利要求7所述的方法,其中所述凭证存储系统包括所述所声明的身份的目录,其中对所述目录的访问被所述安全措施限制到所述所声明的身份或超级用户,并且其中所述安全措施由所述凭证存储系统的操作系统指定。9.根据权利要求8所述的方法,其中所述凭证存储系统是所述文件系统客户端的一部分。10.一种方法,包括:由文件系统执行点从文件系统客户端接收访问分布式文件系统的请求,所述请求与所声明的身份和所述所声明的身份的所声称的凭证相关联;由所述文件系统执行点向外部系统转发与所述所声明的身份相关联的所述所声称的凭证,所述外部系统被配置为通过确定所声称的凭证对照被存储在外部系统中的凭证的匹配来认证所述所声明的身份;从所述外部系统接收指示所述所声...
【专利技术属性】
技术研发人员:D·D·M·阿鲁穆加姆,P·穆朱姆达,P·沃玛,
申请(专利权)人:布鲁塔隆公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。