技術(shù)領(lǐng)域

本發(fā)明涉及一種云環(huán)境下分布式存儲的訪問控制方法，屬于云環(huán)境下安全訪問的技術(shù)領(lǐng)域。

背景技術(shù)

云計算(Cloud Computing)是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)增加、使用和交付模式，它是在并行處理、分布式計算、網(wǎng)格計算等技術(shù)基礎(chǔ)上逐步融合發(fā)展起來的網(wǎng)絡(luò)計算技術(shù)。云計算最初于2008年由谷歌正式提出。對云計算的定義說法多樣，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)定義：云計算是一種為隨時隨地、方便、請求即響應(yīng)(on-demand)地訪問可配置計算的共享資源池(如：網(wǎng)絡(luò)、服務(wù)、存儲、應(yīng)用)的一種計算模式，這種模式可以減少用戶在快速獲得和釋放資源時與服務(wù)提供者的交互和管理開銷。在云計算模式下，用戶終端設(shè)備將會變得非常簡單，因為用戶只需要發(fā)送請求便可以由云服務(wù)提供商提供“按需收費”的計算資源、存儲空間和其他的應(yīng)用軟件等。云計算已經(jīng)廣泛應(yīng)用到各個領(lǐng)域，包括：云物聯(lián)、云安全、云存儲、移動通信等。

分布式存儲是將大量的普通的PC服務(wù)器通過互聯(lián)網(wǎng)互聯(lián),對外作為一個整體提供服務(wù)。當(dāng)前云計算、大數(shù)據(jù)環(huán)境下，分布式存儲系統(tǒng)以其擴展性好、成本低、性能高、易用性等特點得到了大規(guī)模的應(yīng)用。分布式文件系統(tǒng)就是部署在分布式存儲資源上的架構(gòu)。分布式文件系統(tǒng)(Distributed File System，DFS)主要指將分布式的思想應(yīng)用到文件存儲上，這里，所有資源都以文件的形式存放在一些具體的物理機器的存儲設(shè)備上，而這些物理機器或許是物理位置不同的物理設(shè)備。同時，這種分布式的存儲機制和流程，對于用戶而言是透明的。常見的分布式文件系統(tǒng)包括：Lustre、HDFS、FastDFS、MogileFS、GoogleFS、MooseFS、Ceph以及Gluster等。

隨著大數(shù)據(jù)環(huán)境下海量數(shù)據(jù)安全存儲的需求，研究基于分布式架構(gòu)，重點突破分布式架構(gòu)下的訪問控制、身份認(rèn)證、數(shù)據(jù)隔離存儲等關(guān)鍵技術(shù)，研制云計算及大數(shù)據(jù)環(huán)境下具有高可用性、高安全性、高穩(wěn)定性和高性能的存儲系統(tǒng)，顯得異常重要。一方面，高可用性的分布式存儲系統(tǒng)滿足云計算、大數(shù)據(jù)環(huán)境下的有效存儲需求；另一方面，實現(xiàn)海量數(shù)據(jù)按用戶、應(yīng)用、安全等級別進(jìn)行保護(hù)的功能，防止數(shù)據(jù)被非法訪問。

Hadoop的分布式文件系統(tǒng)中實現(xiàn)了一種與POSIX系統(tǒng)類似的文件和目錄的權(quán)限模型。即每個文件和目錄都有一個所有者(owner)和一個組(group)。文件或者目錄對所有者、同組的其他用戶以及所有其他組的用戶分別有著不同的權(quán)限，從而實現(xiàn)對不同用戶訪問HDFS目錄的權(quán)限控制。但是，該訪問控制方法單一，只是針對一個傳統(tǒng)文件和目錄的權(quán)限設(shè)置；單純地依靠這一種訪問控制，并不能很好地滿足安全需求。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)的不足，本發(fā)明提供一種云環(huán)境下分布式存儲的訪問控制方法。

發(fā)明概述：

本發(fā)明的核心是以Hadoop集群的HDFS分布式文件系統(tǒng)為基礎(chǔ)的云存儲，在該基本云存儲系統(tǒng)基礎(chǔ)上，增加安全訪問控制功能。通過Ranger突破云存儲系統(tǒng)中的訪問控制技術(shù)，構(gòu)建基于角色的細(xì)粒度的訪問控制授權(quán)體系，使該云存儲系統(tǒng)可以可靠地支持多用戶的不同級別或類型的信息進(jìn)行有效隔離與完整性保護(hù)，實現(xiàn)云端數(shù)據(jù)隔離。通過Kerberos突破云存儲系統(tǒng)中具體數(shù)據(jù)節(jié)點的訪問控制，解決Hadoop集群內(nèi)部、client與管理節(jié)點、管理節(jié)點與數(shù)據(jù)節(jié)點及數(shù)據(jù)節(jié)點間的訪問控制問題。

術(shù)語說明：

1、基于角色訪問控制，所謂訪問控制是指對用戶的身份認(rèn)證后，需要按用戶的身份及用戶歸屬的某定義組來限制用戶對某些資源信息的訪問，或者限制用戶控制功能的使用。在基于角色的訪問控制(RBAC)中，權(quán)限與角色相關(guān)聯(lián)，用戶根據(jù)它的角色而獲得相應(yīng)的權(quán)限，同時用戶也可以依據(jù)新的需求和系統(tǒng)的合并而獲得新的權(quán)限。

2、Ranger，是一種實現(xiàn)、監(jiān)控并管理Hadoop平臺綜合數(shù)據(jù)安全的集中式框架，它提供了一個集中式的管理平臺，通過制定策略(policies)實現(xiàn)對不同的用戶賦予對特定路徑的訪問權(quán)限。

3、Kerberos，是一種安全的網(wǎng)絡(luò)認(rèn)證協(xié)議，它采用通過對稱加密算法生成的、時間敏感的票據(jù)，實現(xiàn)客戶端和服務(wù)器端不需要在網(wǎng)絡(luò)上傳輸密碼就可以進(jìn)行認(rèn)證，從而提供了一種新的安全認(rèn)證和訪問控制的方法。

4、KDC，密鑰分發(fā)中心(Key Distribution Center)。

5、票據(jù)授權(quán)票據(jù),(Ticket Grant Ticket,TGT)在kerberos認(rèn)證系統(tǒng)中，向用戶發(fā)放TGT，該TGT用于獲取服務(wù)票據(jù)。

本發(fā)明的技術(shù)方案為：