[发明专利]一种云环境下分布式存储的访问控制方法

摘要

本发明涉及一种云环境下分布式存储的访问控制方法。该方法以Hadoop集群的HDFS分布式文件系统为基础的云存储，在该基本云存储系统基础上，增加安全访问控制功能。通过Ranger突破云存储系统中的访问控制技术，构建基于角色的细粒度的访问控制授权体系，使该云存储系统可以可靠地支持多用户的不同级别或类型的信息进行有效隔离与完整性保护，实现云端数据隔离。通过Kerberos突破云存储系统中具体数据节点的访问控制，解决Hadoop集群内部、client与管理节点、管理节点与数据节点及数据节点间的访问控制问题。

主权项

一种云环境下分布式存储的访问控制方法，其特征在于，基于Ranger框架和Kerberos实现；Ranger框架包括Ranger Admin组件、Ranger plugin组件和Ranger Usersync组件；Kerberos的组件包括KDC和协助工具ks_tool；具体的功能实现步骤如下：A、基于用户的访问控制A1、部署Hadoop集群；Hadoop集群包括至少一个Master节点和多个slave节点；A2、部署Ranger框架的组件；其中Ranger admin组件部署在slave节点上，Ranger Plugin组件和UserSync组件部署在Master节点上；将系统用户更新到Ranger admin组件中，并以mysql数据库作为Ranger框架的策略与审计日志的存储载体；A3、在Ranger admin组件中，对HDFS定义local_hdfs服务；Ranger admin组件为local_hdfs服务定制访问策略，实现对策略访问路径、策略发生作用的User/Group及User/Group应被赋予的权限的设置；A4、local_hdfs服务的访问策略通过Ranger Plugin组件更新到HDFS中，实现系统用户对策略访问路径的特定访问权限；同时，Ranger Plugin组件将系统用户对HDFS的访问日志同步到Ranger admin组件中，形成审计日志，用于检测用户访问的足迹；B、Hadoop集群内部认证控制B1、当系统用户访问DataNode或NameNode服务器时，首先向AS发出请求，表明自己的身份，请求TGT；所述请求包括系统用户的name/ID、系统用户IP地址和TGT的有效时间；B2、AS收到请求后，首先去mysql数据库中验证该系统用户是否存在；如果系统用户存在，则返回两部分信息给系统用户：一部分信息为TGT，该信息通过KDC自身的密码进行加密；另一部分信息为经系统用户的密钥加密的信息，包括TGS的name/ID、时间戳、TGT的生命周期和TGS session key；B3、系统用户向TGS发送请求，请求获得ST；请求包括，使用TGS session key加密的认证器、明文传输的特定服务的请求和TGT；B4、TGS对请求进行验证；验证包括，对比TGT中的用户名和认证器中的用户名；比较时间戳，检查时间戳是否过期，检查IP地址是否一致；检查认证器是否已经在TGS缓存中；验证通过后，向系统用户发送回答信息；所述回答信息包括，加密的服务票据ST、通过TGS session key加密的信息；B5、用户收到回答信息后，通过TGS session key解密，获得对应服务的Service Session Key及加密的ST；至此系统用户获得请求服务的服务票据，并以服务票据为依据向指定的服务器发送访问请求；B6、服务器对ST进行解密后验证，检测系统用户的用户名、系统用户IP地址和时间戳；如果验证通过，则允许该系统用户的访问。