基于角色和用戶信任值的HDFS訪問(wèn)控制技術(shù)研究.pdf

1、隨著云存儲(chǔ)技術(shù)的快速發(fā)展，越來(lái)越多的企業(yè)和用戶選擇使用云存儲(chǔ)來(lái)保存或備份數(shù)據(jù)，以增強(qiáng)數(shù)據(jù)的可移動(dòng)性，然而針對(duì)云存儲(chǔ)的安全性問(wèn)題，研究人員主要關(guān)注隱私泄露、數(shù)據(jù)容災(zāi)、副本消除等方面，對(duì)訪問(wèn)控制方面的研究較少。由于云存儲(chǔ)技術(shù)以分布式文件系統(tǒng)為核心，所以研究云存儲(chǔ)的數(shù)據(jù)安全性問(wèn)題，實(shí)際上就是要研究分布式文件系統(tǒng)的數(shù)據(jù)安全性問(wèn)題。
　　本文在已有的訪問(wèn)控制技術(shù)研究成果基礎(chǔ)上，主要針對(duì)Hadoop分布式文件系統(tǒng)HDFS的訪問(wèn)控制缺陷問(wèn)題進(jìn)行

2、研究。本文的具體工作和研究成果如下：
　　(1)由于現(xiàn)有的HDFS采用簡(jiǎn)單自主訪問(wèn)控制策略，不能夠解決HDFS授權(quán)管理復(fù)雜性和時(shí)間開(kāi)銷等問(wèn)題，本文結(jié)合傳統(tǒng)的基于角色的訪問(wèn)控制策略RBAC提出了一種基于角色的HDFS訪問(wèn)控制機(jī)制R-HDFS(AccessControlfor HDFS Based on Role)，從而提高了HDFS授權(quán)管理的靈活性。通過(guò)引入角色的概念，實(shí)現(xiàn)了用戶與操作權(quán)限的分離，從而簡(jiǎn)化了對(duì)用戶的授權(quán)管理。實(shí)例分析

3、和實(shí)驗(yàn)結(jié)果表明，R-HDFS訪問(wèn)控制機(jī)制能夠根據(jù)系統(tǒng)設(shè)置為用戶分配不同的角色，為進(jìn)行靈活的授權(quán)管理和高效的安全控制提供了條件，為保證HDFS的安全性奠定了基礎(chǔ)。
　　(2)由于合法用戶通過(guò)HDFS的身份認(rèn)證后，其后期的操作行為將不被系統(tǒng)監(jiān)控，但用戶的后期操作行為有可能會(huì)危害集群系統(tǒng)的安全，而集群卻無(wú)法察覺(jué)。針對(duì)HDFS訪問(wèn)控制管理的合法用戶后期行為可信性問(wèn)題，本文結(jié)合可信賴第三方認(rèn)證系統(tǒng)Kerberos和用戶信任值的概念，提出了一

4、種基于用戶信任值的HDFS訪問(wèn)控制機(jī)制T-HDFS(AccessControlfor HDFS Based on User Trust Value)。利用可信賴第三方認(rèn)證系統(tǒng)Kerberos實(shí)現(xiàn)對(duì)用戶身份的安全認(rèn)證，并為每個(gè)用戶設(shè)定一個(gè)信任值，通過(guò)信任值與信任值閾值的比較動(dòng)態(tài)控制用戶對(duì)HDFS的訪問(wèn)，從而實(shí)現(xiàn)了一種細(xì)粒度的、可靠的、靈活的訪問(wèn)控制機(jī)制。實(shí)驗(yàn)結(jié)果和分析表明，T-HDFS訪問(wèn)控制機(jī)制能夠?qū)崟r(shí)地監(jiān)控和收集用戶行為，并根據(jù)用戶行

5、為記錄計(jì)算更新用戶信任值，再通過(guò)用戶信任值與信任值閾值的比較動(dòng)態(tài)控制用戶對(duì)集群的訪問(wèn)，并且不會(huì)對(duì)集群的性能造成嚴(yán)重影響。
　　(3)在Hadoop分布式文件系統(tǒng)上設(shè)計(jì)并實(shí)現(xiàn)了一種基于角色和用戶信任值的HDFS訪問(wèn)控制機(jī)制RoT-HDFS(AccessControlfor HDFS Basedon Role andUserTrustValue)，實(shí)現(xiàn)了用戶角色分配、用戶身份安全認(rèn)證以及動(dòng)態(tài)控制用戶訪問(wèn)行為等功能，并給出了相關(guān)數(shù)據(jù)結(jié)構(gòu)