[发明专利]一种面向大数据集群的访问权限管理方法及系统

说明书

本发明属于数据处理技术领域，公开了一种面向大数据集群的访问权限管理方法及系统，包括提供访问权限管理系统、用户同步组件、权限控制插件及其相应控制逻辑；安装在大数据集群所属机器上的用户信息同步组件将会定期将用户及用户组信息发送至访问权限管理系统；系统管理员针对每种大数据集群自定义相应的权限策略，将读、写、查、执行等各种权限赋予相应的用户或用户组；安装在大数据集群上的权限控制插件自动同步对应的权限策略；权限控制插件会在用户访问大数据集群时对其进行鉴权，根据已定义的权限策略进行控制用户的访问权限。本发明通过采用严谨的权限策略逻辑，达到了大数据集群访问权限控制的目的。

技术领域

本发明属于数据处理技术领域，尤其涉及一种面向大数据集群的访问权限管理方法及系统。

背景技术

目前，业内常用访问控制列表ACL技术来实现，ACL具有一定的优点，比如表述直观、易于理解，比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。但是也存在一些弊端，首先如果资源很多，ACL需要设定大量的表项，而且修改起来比较困难，实现整个组织范围内一致的控制政策也比较困难；其次，单纯使用ACL，不易实现最小权限原则及复杂的安全政策；另外，欠缺审计方面的功能，对资源被访问的记录没有形成审计。

大数据技术的发展和应用已经非常普遍，并且对国家的治理模式、社会的组织结构、企业的决策架构、商业的业务策略以及个人的生活方式均产生了深远的影响。

但随着大数据技术广泛应用于个领域的同时，也带来了潜在的安全风险。由于大数据的数据集中、数据量大、数据价值大等特点，一旦数据被非法访问、泄露甚至破坏，造成的损失将十分巨大。建设一套能够为大数据的使用保驾护航的安全系统是必要的。

综上所述，现有技术存在的问题是：

(1)现有技术中，没有以权限策略为单元，没有以一个完整的策略树来实现严谨的权限控制逻辑，从而导致不能有效地对大数据集群的访问权限进行控制。

(2)在对众多大数据组件进行权限管理时，所需设定大量表项难以维护，且在访问权限控制的粒度上不够精细。

(3)缺乏一个有效的审计机制，当用户访问大数据资源时，没有办法实时地记录相关操作信息及系统给予的反馈信息，形成了日志缺失。

解决上述技术问题的难度：

需要针对所需要权限控制的大数据组件进行插件开发，因为每个组件的资源类型不同，权限类型也不同，需要有各自的定制化。但由于定制化，才能实现各组件的细粒度权限控制。

解决上述技术问题意义：

本发明以权限策略为单元，以一个完整的策略树来实现严谨的权限控制逻辑，这样可以规避由于逻辑不严谨而导致的系统漏洞。针对权限策略，需提取共性，制定相应数据库表，便于管理和维护。

本发明的系统提供审计功能，审计信息来源于用户操作组件时所触发的审计信息收集器，它将组件被访问的时间、访问用户、资源、结果、来源等信息发送至系统主服务，存入审计库中。审计信息可以反应出很多的安全攻击行为，比如登录错误，异常访问等。审计功能会成为在事故发生后查明事故原因的一个很好的信息来源。

发明内容

针对现有技术存在的问题，本发明提供了一种面向大数据集群的访问权限管理方法及系统。本发明其实现方式是以权限策略为单元，策略的实施是以一个完整的策略树来实现严谨的权限控制逻辑，从而有效地对大数据集群的访问权限进行控制。

本发明是这样实现的，一种面向大数据集群的访问权限管理方法，包括：

安装在大数据集群所属机器上的用户信息同步组件定期将用户及用户组信息发送至访问权限管理系统；

权限管理系统针对每种大数据集群自定义相应的权限策略，将读、写、查、执行各种权限赋予相应的用户或用户组；