1.一種云環境下分布式存儲的訪問控制方法，其特征在于，基于Ranger框架和Kerberos實現；Ranger框架包括Ranger Admin組件、Ranger plugin組件和Ranger Usersync組件；Kerberos的組件包括KDC和協助工具ks_tool；具體的功能實現步驟如下：

A、基于用戶的訪問控制

A1、部署Hadoop集群；Hadoop集群包括至少一個Master節點和多個slave節點；

A2、部署Ranger框架的組件；其中Ranger admin組件部署在slave節點上，Ranger Plugin組件和UserSync組件部署在Master節點上；將系統用戶更新到Ranger admin組件中，并以mysql數據庫作為Ranger框架的策略與審計日志的存儲載體；

A3、在Ranger admin組件中，對HDFS定義local_hdfs服務；Ranger admin組件為local_hdfs服務定制訪問策略，實現對策略訪問路徑、策略發生作用的User/Group及User/Group應被賦予的權限的設置；

A4、local_hdfs服務的訪問策略通過Ranger Plugin組件更新到HDFS中，實現系統用戶對策略訪問路徑的特定訪問權限；同時，Ranger Plugin組件將系統用戶對HDFS的訪問日志同步到Ranger admin組件中，形成審計日志，用于檢測用戶訪問的足跡；

B、Hadoop集群內部認證控制

B1、當系統用戶訪問DataNode或NameNode服務器時，首先向AS發出請求，表明自己的身份，請求TGT；所述請求包括系統用戶的name/ID、系統用戶IP地址和TGT的有效時間；

B2、AS收到請求后，首先去mysql數據庫中驗證該系統用戶是否存在；如果系統用戶存在，則返回兩部分信息給系統用戶：一部分信息為TGT，該信息通過KDC自身的密碼進行加密；另一部分信息為經系統用戶的密鑰加密的信息，包括TGS的name/ID、時間戳、TGT的生命周期和TGS session key；

B3、系統用戶向TGS發送請求，請求獲得ST；請求包括，使用TGS session key加密的認證器、明文傳輸的特定服務的請求和TGT；

B4、TGS對請求進行驗證；驗證包括，對比TGT中的用戶名和認證器中的用戶名；比較時間戳，檢查時間戳是否過期，檢查IP地址是否一致；檢查認證器是否已經在TGS緩存中；驗證通過后，向系統用戶發送回答信息；所述回答信息包括，加密的服務票據ST、通過TGS session key加密的信息；

B5、用戶收到回答信息后，通過TGS session key解密，獲得對應服務的Service Session Key及加密的ST；至此系統用戶獲得請求服務的服務票據，并以服務票據為依據向指定的服務器發送訪問請求；

B6、服務器對ST進行解密后驗證，檢測系統用戶的用戶名、系統用戶IP地址和時間戳；如果驗證通過，則允許該系統用戶的訪問。

2.根據權利要求1所述的云環境下分布式存儲的訪問控制方法，其特征在于，使用TGS session key加密的認證器，包括系統用戶的name/ID和時間戳；明文傳輸的特定服務的請求為http服務。

3.根據權利要求1所述的云環境下分布式存儲的訪問控制方法，其特征在于，所述Ranger Admin組件是安全管理的核心接口，通過集中式的管理控制平臺，實現用戶的可視化操作，并將可視化操作作用到HDFS中，最終實現訪問控制；所述可視化操作包括創建和更新用戶/組、定義服務和訪問策略、查看訪問日志；

所述Ranger plugin組件是一個輕量級的java程序，嵌入到HDFS組件中進行工作；Ranger plugin組件一方面負責將HDFS與Ranger admin組件聯系起來；另一方面，將Ranger admin組件中定義的訪問策略加載到HDFS所在的主機上，并將系統用戶的訪問日志上傳到Ranger admin組件中用于審計；

所述Ranger Usersync組件是Ranger提供的系統用戶同步功能，將Unix系統、LDAP中的現有系統用戶和系統用戶組加載到Ranger Admin組件中，作為訪問HDFS的用戶。