[发明专利]一种提高数据仓库安全性的方法、装置

说明书

本申请实施例公开一种提高数据仓库安全性的方法、装置，方法包括：进程守护系统对客户端预先获得的授权凭证进行有效性校验，当有效性校验通过时，客户端向验证服务端发送针对znode节点的访问请求及授权凭证；验证服务端接收znode节点的访问请求和授权凭证后，对授权凭证进行解析、验证，并将验证结果发送至客户端；当验证结果为允许访问znode节点时，客户端通过znode节点与数据仓库服务端建立通信连接，从而访问数据仓库。本申请可以实现未开启kerberos情况下，第三方应用用户或客户端使用hive的高可用hiveserver2集群做抽取、转置、加载(ETL)时，zookeeper上znode节点不会被第三方应用用户或客户端误删、修改，保持数据仓库服务的高可用性。

技术领域

本发明属于数据仓库领域，尤其涉及一种提高数据仓库安全性的方法、装置。

背景技术

现有的数据仓库经常会使用hive(一种基于hadoop的数据仓库)作为抽取、转置、加载(ETL)的工具，为了保证hive服务的高可用，在hive服务端(hiveserver2)部署zookeeper服务，zookeeper通过创建znode节点来存放hiveserver2节点信息从而实现hiveserver2的高可用。为了防止单点故障，用户必须通过第三方客户端(如：JDBC,BEELINE,oozie,hbase)连接高可用的hiveserver2集群，禁止用户直连单个hiveserver2节点。

但是这种基于zookeeper实现的hive高可用系统存在如下缺点：

1、在非kerberos安全模式下，hive在zookeeper上创建的节点/hiveserver2的访问控制列表(ACL)为world,anyone:cdrwa。这表示任一登上zookeeper节点的用户都对hive的znode节点有增、删、改、查、管理权限，可能导致数据仓库服务不可用，大大降低了hive的可用性。

2、任意客户端如hbase或者oozie客户端及任意第三方用户通过jdbc方式连接高可用hiveserver2集群时，可直接访问hiveserver2高可用节点，有可能导致数据数据泄漏。

发明内容

为了解决现有技术的问题，本发明提出了一种提高数据仓库安全性的方法、装置，本方法可以实现未开启kerberos情况下，第三方应用用户或客户端使用hive的高可用hiveserver2集群做抽取、转置、加载(ETL)时，zookeeper上znode节点不会被第三方应用用户或客户端误删、修改，保持数据仓库服务的高可用性。

本发明实施例提供的具体技术方案如下：

第一方面，本发明提供一种提高数据仓库安全性的方法，所述方法包括：

进程守护系统对客户端预先获得的授权凭证进行有效性校验，当有效性校验通过时，客户端向验证服务端发送针对znode节点的访问请求及所述授权凭证；其中，所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限；

所述验证服务端接收所述znode节点的访问请求和所述授权凭证后，对所述授权凭证进行解析、验证，并将验证结果发送至所述客户端；

当验证结果为允许访问所述znode节点时，所述客户端通过所述znode节点与数据仓库服务端建立通信连接，从而访问数据仓库。

优选的，所述方法还包括：

认证系统接收用户通过所述客户端发送的针对待访问的znode节点的权限定制请求，根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端。

优选的，所述根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端具体包括：

所述认证系统对所述用户进行资格审核；