CN105787382B - 访问控制方法和装置 - Google Patents
访问控制方法和装置 Download PDFInfo
- Publication number
- CN105787382B CN105787382B CN201610065833.5A CN201610065833A CN105787382B CN 105787382 B CN105787382 B CN 105787382B CN 201610065833 A CN201610065833 A CN 201610065833A CN 105787382 B CN105787382 B CN 105787382B
- Authority
- CN
- China
- Prior art keywords
- application program
- authority
- access
- access control
- run
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明提出一种访问控制方法和装置,该访问控制方法应用于基于Hadoop集群的访问控制装置,包括在访问控制装置中安装的应用程序待运行时,根据应用程序的权限集获取待运行应用程序的访问权限;在Hadoop集群中运行虚拟系统程序,并根据待运行应用程序的访问权限对虚拟系统程序的访问权限进行设置;在虚拟系统程序中运行待运行应用程序,以使访问控制装置的当前用户能够访问Hadoop集群中的数据。通过本发明能够有效保证基于Hadoop集群中数据的安全性,提升用户的访问体验。
Description
技术领域
本发明涉及大数据技术领域,尤其涉及一种访问控制方法和装置。
背景技术
大数据时代,应用数量以百万计算,数据终端则以千万或亿计算。对各种大数据的分析,逐步成为IT创造价值的主要运营模式。目前大数据处理平台多以企业自己搭建为主,而数据分析程序也是企业自己或者委托某一个公司开发。但是,随着企业的发展,数据也来越庞大,对集群的性能要求越来越高,对数据分析的多样性要求也越来越高。可以预见,未来对超级集群的需求会增大,而超级集群不是每个企业都能负担的,必然会出现租用集群的情况;随着数据分析细分市场的发展,也会导致同一大数据平台运行不同厂商开发的程序。以上两点,无论是多用户租用同一集群,还是企业内部集群运行不同厂商开发的程序,都需要保证数据的安全,不同用户的数据需要严格保护。
相关技术中,大数据处理平台基本都是基于Hadoop集群的,Hadoop集群引入了Kerberos来对用户进行认证,以保障大数据的安全性,但是增加了Hadoop集群平台的使用难度,用户不但需要了解Hadoop集群,还要了解Kerberos的技术细节,需要在Kerberos里创建不同的用户,在Hadoop集群中分配不同的权限,不能够实现对多个大数据平台租户的访问权限进行灵活配置。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种访问控制方法,能够有效保证基于Hadoop集群中数据的安全性,提升用户的访问体验。
本发明的另一个目的在于提出一种访问控制装置。
为达到上述目的,本发明第一方面实施例提出的访问控制方法,应用于基于Hadoop集群的访问控制装置,包括:在所述访问控制装置中安装的应用程序待运行时,根据所述应用程序的权限集获取待运行应用程序的访问权限;在所述Hadoop集群中运行虚拟系统程序,并根据所述待运行应用程序的访问权限对所述虚拟系统程序的访问权限进行设置;在所述虚拟系统程序中运行所述待运行应用程序,以使所述访问控制装置的当前用户能够访问所述Hadoop集群中的数据。
本发明第一方面实施例提出的访问控制方法,通过获取待运行应用程序的访问权限,在Hadoop集群中运行虚拟系统程序,并根据待运行应用程序的访问权限对虚拟系统程序的访问权限进行设置,以及在虚拟系统程序中运行待运行应用程序,以使访问控制装置的当前用户能够访问Hadoop集群中的数据,能够有效保证基于Hadoop集群中数据的安全性,提升用户的访问体验。
为达到上述目的,本发明第二方面实施例提出的访问控制装置,包括:访问权限获取模块,用于在所述访问控制装置中安装的应用程序待运行时,根据所述应用程序的权限集获取待运行应用程序的访问权限;第一设置模块,用于在所述Hadoop集群中运行虚拟系统程序,并根据所述待运行应用程序的访问权限对所述虚拟系统程序的访问权限进行设置;运行模块,用于在所述虚拟系统程序中运行所述待运行应用程序,以使所述访问控制装置的当前用户能够访问所述Hadoop集群中的数据。
本发明第二方面实施例提出的访问控制装置,通过获取待运行应用程序的访问权限,在Hadoop集群中运行虚拟系统程序,并根据待运行应用程序的访问权限对虚拟系统程序的访问权限进行设置,以及在虚拟系统程序中运行待运行应用程序,以使访问控制装置的当前用户能够访问Hadoop集群中的数据,能够有效保证基于Hadoop集群中数据的安全性,提升用户的访问体验。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明一实施例提出的访问控制方法的流程示意图;
图2是本发明另一实施例提出的访问控制方法的流程示意图;
图3是本发明另一实施例提出的访问控制方法的流程示意图;
图4是本发明另一实施例提出的访问控制装置的结构示意图;
图5是本发明另一实施例提出的访问控制装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
图1是本发明一实施例提出的访问控制方法的流程示意图,该访问控制方法应用于基于Hadoop集群的访问控制装置,如图1所示,该访问控制方法包括:
S101:在访问控制装置中安装的应用程序待运行时,根据应用程序的权限集获取待运行应用程序的访问权限。
在本发明的实施例中,该访问控制方法应用于基于Hadoop集群的访问控制装置。
可选地,访问控制装置可以例如大数据处理平台,其中,大数据(big data)指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合。Hadoop集群是基于分布式系统基础架构Hadoop的集群服务器,集群服务器将多个服务器系统连接到一起,使多台服务器能够像一台服务器那样工作或者看起来好像一台服务器。例如,用户在基于Hadoop集群的访问控制装置中进行数据的存储和访问时,可以在不了解Hadoop分布式底层细节的情况下,开发分布式程序,以利用Hadoop集群进行数据的高速运算和存储。
在本发明的实施例中,待运行应用程序可以为需要进行大数据分析和处理的企业在访问控制装置上安装的用于分析数据的应用程序程序。
在本发明的实施例中,权限集例如可以包括HDFS权限、HBase权限、Hive权限,以及Gbase权限,也可以包括其它数据库的访问权限,本发明实施例对此不作限制。
其中,HDFS权限为Hadoop集群中Hadoop分布式文件系统(Hadoop DistributedFile System,HDFS)的访问权限,HBase权限为Hadoop集群中分布式的、面向列的开源数据库的访问权限,Hive权限为Hadoop集群中数据仓库工具的访问权限。访问权限例如对HDFS中数据的存储和读取、对HBase中数据的存储和读取,以及对Hive中数据的存储和读取,不同的待运行应用程序对应的权限集中的访问权限不同。
例如,待运行应用程序A对应的访问权限例如可以包括对HDFS中数据的访问权限A1、对HBase中数据的访问权限A2,以及对Hive中数据的访问权限A3,待运行应用程序B对应的访问权限可以包括对HDFS中数据的访问权限B1、对HBase中数据的访问权限B2,以及对Hive中数据的访问权限B3,以此类推,本发明实施例对此不作限制。因此,需要在预先配置的应用程序的权限集中获取与待运行应用程序匹配的访问权限。
在本发明的实施例中,在访问控制装置中安装的应用程序待运行时,根据应用程序的权限集获取待运行应用程序的访问权限之前,还包括:在访问控制装置中安装应用程序,并配置应用程序的权限集。
可选地,根据应用程序的权限集获取待运行应用程序的访问权限之后,还包括:根据待运行应用程序的访问权限对当前用户的访问权限进行设置。
S102:在Hadoop集群中运行虚拟系统程序,并根据待运行应用程序的访问权限对虚拟系统程序的访问权限进行设置。
在本发明的实施例中,虚拟系统程序可以为沙箱(Sandbox),沙箱允许用户在沙箱环境中运行应用程序,运行所产生的变化可以随后删除。
具体地,在访问控制装置的Hadoop集群中可以运行一个或者多个虚拟系统程序,不同的虚拟系统程序的运行进程相互隔离,可以实现虚拟系统程序中的数据互相隔离且不能互相访问,以保证虚拟系统程序中数据的安全性。
可选地,可以根据步骤S101中获取到的待运行应用程序的访问权限对虚拟系统程序的访问权限进行设置,例如,可以通过调用访问控制装置中的API,并获取虚拟系统程序的系统参数,将待运行应用程序的访问权限赋予虚拟系统程序,以使当前用户通过使用待运行应用程序的访问权限来访问虚拟系统程序。
例如,待运行应用程序A对应的访问权限可以例如包括对HDFS中数据的访问权限A1、对HBase中数据的访问权限A2,以及对Hive中数据的访问权限A3,则将访问权限A1、访问权限A2,以及访问权限A3赋予虚拟系统程序a,则当前用户通过使用待运行应用程序的访问权限A1、访问权限A2,以及访问权限A3来访问虚拟系统程序a,本发明实施例对此不作限制。
S103:在虚拟系统程序中运行待运行应用程序,以使访问控制装置的当前用户能够访问Hadoop集群中的数据。
在本发明的实施例中,当前用户为访问控制装置为待运行应用程序动态创建的代理用户。
在本发明的实施例中,由于虚拟系统程序允许用户在虚拟系统程序环境中运行应用程序,且运行所产生的变化可以随后删除,可以在虚拟系统程序中运行待运行应用程序,例如,将待运行应用程序A在虚拟系统程序a中运行,且由于之前根据待运行应用程序的访问权限对当前用户的访问权限进行设置,即将访问权限A1、访问权限A2,以及访问权限A3赋予当前用户,则可以使当前用户通过访问虚拟系统程序a来访问待运行应用程序A。
在本发明的实施例中,应用程序的数据可以包括该应用程序存储在Hadoop分布式文件系统(Hadoop Distributed File System,HDFS)中的数据,存储在分布式的、面向列的开源数据库HBase中的数据,以及存储在数据仓库工具Hive中的数据。
在本发明的实施例中,通过构建多个安全的虚拟系统程序,实现使不同的应用程序运行在不同的虚拟系统程序内,实现应用程序中数据的隔离。
进一步,可选地,如果当前用户需要访问Hadoop集群中的公有数据,则可以在访问控制装置中发出权限申请请求,由管理员用户对当前用户的权限申请请求进行审核,审核通过后,由访问控制装置赋予当前用户所能够访问的虚拟系统程序访问公有数据的权限,以实现当前用户对公用数据的访问。
本实施例中,通过获取待运行应用程序的访问权限,在Hadoop集群中运行虚拟系统程序,并根据待运行应用程序的访问权限对虚拟系统程序的访问权限进行设置,以及在虚拟系统程序中运行待运行应用程序,以使访问控制装置的当前用户能够访问Hadoop集群中的数据,能够有效保证基于Hadoop集群中数据的安全性,提升用户的访问体验。
图2是本发明另一实施例提出的访问控制方法的流程示意图,如图2所示,在图1所示实施例中步骤S101的基础之上,其中,图2实施例中步骤S202同图1实施例中步骤S101,该访问控制方法还包括:
S201:在访问控制装置中安装应用程序,并配置应用程序的权限集。
在本发明的实施例中,权限集例如可以包括HDFS权限、HBase权限、Hive权限,以及Gbase权限,也可以包括其它数据库的访问权限,本发明实施例对此不作限制。
其中,HDFS权限为Hadoop集群中Hadoop分布式文件系统(Hadoop DistributedFile System,HDFS)的访问权限,HBase权限为Hadoop集群中分布式的、面向列的开源数据库的访问权限,Hive权限为Hadoop集群中数据仓库工具的访问权限。访问权限例如对HDFS中数据的存储和读取、对HBase中数据的存储和读取,以及对Hive中数据的存储和读取,不同的应用程序对应的权限集中的访问权限不同,因此,需要预先配置应用程序的权限集。
本步骤中,通过在访问控制装置中安装应用程序,并配置应用程序的权限集,可以实现不同的应用程序拥有不同的访问权限,实现不同应用程序间的数据的隔离,有效保证应用程序中数据的安全性。
S202:在访问控制装置中安装的应用程序待运行时,根据应用程序的权限集获取待运行应用程序的访问权限。
在本发明的实施例中,待运行应用程序可以为需要进行大数据分析和处理的企业在访问控制装置上安装的用于分析数据的应用程序程序。
例如,待运行应用程序A对应的访问权限可以例如包括对HDFS中数据的访问权限A1、对HBase中数据的访问权限A2,以及对Hive中数据的访问权限A3,待运行应用程序B对应的访问权限可以包括对HDFS中数据的访问权限B1、对HBase中数据的访问权限B2,以及对Hive中数据的访问权限B3,以此类推,本发明实施例对此不作限制。因此,需要在预先配置的应用程序的权限集中获取与待运行应用程序匹配的访问权限。
S203:根据待运行应用程序的访问权限对当前用户的访问权限进行设置。
在本发明的实施例中,当前用户为访问控制装置为待运行应用程序动态创建的代理用户。
在本发明的实施例中,例如,可以通过调用访问控制装置中的API,并获取虚拟系统程序的系统参数,将待运行应用程序的访问权限赋予当前用户,以使当前用户可以通过使用待运行应用程序的访问权限来访问虚拟系统程序。
本步骤中,通过根据待运行应用程序的访问权限对当前用户的访问权限进行设置,实现由访问控制装置将待运行应用程序的访问权限赋予当前用户,使得当前用户不需要了解Hadoop集群中访问权限管理的底层细节,易于开发实现,提升访问控制装置的开发效率,且有效提升用户的访问体验。
本实施例中,通过在访问控制装置中安装应用程序,并配置应用程序的权限集,可以实现不同的应用程序拥有不同的访问权限,实现不同应用程序间的数据的隔离,有效保证应用程序中数据的安全性。通过根据待运行应用程序的访问权限对当前用户的访问权限进行设置,实现由访问控制装置将待运行应用程序的访问权限赋予当前用户,使得当前用户不需要了解Hadoop集群中访问权限管理的底层细节,易于开发实现,提升访问控制装置的开发效率,且有效提升用户的访问体验。
图3是本发明另一实施例提出的访问控制方法的流程示意图,如图3所示,图2所示实施例中步骤S201中,还包括:
S301:接收应用程序所属用户的权限申请请求和应用程序信息。
在本发明的实施例中,可以由系统管理员接收应用程序所属用户的权限申请请求,并对权限申请请求进行审核。
具体地,Hadoop集群默认不开启权限管理,因此,在配置Hadoop集群中的访问权限时,可以首先配置各个应用程序服务的超级用户,即系统管理员,系统管理员可以执行访问权限相关的操作,同时可以利用相关技术在Kerberos中创建与系统管理员相同的用户,以使Hadoop集群可以认证系统管理员。
在本发明的实施例中,应用程序所属用户可以例如应用程序的使用用户,即需要使用该应用程序的企业,或者也可以是该应用程序的开发人员。
具体地,例如,应用程序所属用户可以登录访问控制装置中的Hadoop集群,在Hadoop集群中填写应用程序的基本信息和该应用程序的访问权限,以发起权限申请请求。
本步骤中,通过接收应用程序所属用户的权限申请请求和应用程序信息,可以实现在Hadoop集群的系统层面对应用程序所属用户的权限申请请求进行审核以及配置,使得当前用户不需要了解Hadoop集群中访问权限管理的底层细节,易于开发实现,提升访问控制装置的开发效率。
S302:判断权限申请请求是否审核通过。
在本发明的实施例中,系统管理员根据应用程序信息对权限申请请求进行审核,并在审核通过后,触发执行步骤S303,如果审核未通过,则生成审核未通过的提示信息,将提示信息发送至应用程序所属用户,应用程序所属用户修改应用程序信息后,可以再次发起权限申请请求。
S303:在权限申请请求审核通过时,在访问控制装置中安装应用程序,并根据应用程序信息和权限申请请求配置应用程序的权限集。
在本发明的实施例中,在权限申请请求审核通过时,在访问控制装置中安装应用程序,可以有访问控制装置中的系统管理员根据应用程序信息和权限申请请求配置应用程序的权限集。
本步骤中,通过在权限申请请求审核通过时,在访问控制装置中安装应用程序,以使拥有该应用程序访问权限的用户可以访问该应用程序中的数据,保证应用程序间数据的隔离,实现保障数据的安全性,有效提升用户的访问体验。
本实施例中,通过接收应用程序所属用户的权限申请请求和应用程序信息,可以实现在Hadoop集群的系统层面对应用程序所属用户的权限申请请求进行审核以及配置,使得当前用户不需要了解Hadoop集群中访问权限管理的底层细节,易于开发实现,降低开发过程中的出错概率,提升访问控制装置的开发效率。通过在权限申请请求审核通过时,在访问控制装置中安装应用程序,以使拥有该应用程序访问权限的用户可以访问该应用程序中的数据,保证应用程序间数据的隔离,实现保障数据的安全性,有效提升用户的访问体验。
图4是本发明另一实施例提出的访问控制装置的结构示意图,如图4所示,该访问控制装置40包括:
访问权限获取模块401,用于在访问控制装置中安装的应用程序待运行时,根据应用程序的权限集获取待运行应用程序的访问权限。
第一设置模块402,用于在Hadoop集群中运行虚拟系统程序,并根据待运行应用程序的访问权限对虚拟系统程序的访问权限进行设置。
运行模块403,用于在虚拟系统程序中运行待运行应用程序,以使访问控制装置的当前用户能够访问Hadoop集群中的数据。
可选地,如图5所示,该访问控制装置40还包括:
第二设置模块404,用于根据待运行应用程序的访问权限对当前用户的访问权限进行设置。
安装模块405,用于在访问控制装置中安装应用程序,并配置应用程序的权限集。
可选地,如图5所示,安装模块405具体包括:
接收子模块4051,用于接收应用程序所属用户的权限申请请求和应用程序信息。
判断子模块4052,用于判断权限申请请求是否审核通过。
安装配置子模块4053,用于在权限申请请求审核通过时,在访问控制装置中安装应用程序,并根据应用程序信息和权限申请请求配置应用程序的权限集。
需要说明的是,前述对访问控制方法实施例的解释说明也适用于该实施例的访问控制装置40,其实现原理类似,此处不再赘述。
本实施例中,通过获取待运行应用程序的访问权限,在Hadoop集群中运行虚拟系统程序,并根据待运行应用程序的访问权限对虚拟系统程序的访问权限进行设置,以及在虚拟系统程序中运行待运行应用程序,以使访问控制装置的当前用户能够访问Hadoop集群中的数据,能够有效保证基于Hadoop集群中数据的安全性,提升用户的访问体验。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (6)
1.一种访问控制方法,应用于基于Hadoop集群的访问控制装置,其特征在于,包括以下步骤:
在所述访问控制装置中安装的应用程序待运行时,根据所述应用程序的权限集获取待运行应用程序的访问权限;
在所述Hadoop集群中运行虚拟系统程序,并根据所述待运行应用程序的访问权限对所述虚拟系统程序的访问权限进行设置,其中,在所述访问控制装置的Hadoop集群中运行一个或者多个所述虚拟系统程序,不同的虚拟系统程序的运行进程相互隔离;
在所述虚拟系统程序中运行所述待运行应用程序,以使所述访问控制装置的当前用户能够访问所述Hadoop集群中的数据,其中,所述当前用户为所述访问控制装置为所述待运行应用程序动态创建的代理用户;
所述根据所述应用程序的权限集获取待运行应用程序的访问权限之后,还包括:
根据所述待运行应用程序的访问权限对所述当前用户的访问权限进行设置。
2.如权利要求1所述的访问控制方法,其特征在于,所述在所述访问控制装置中安装的应用程序待运行时,根据所述应用程序的权限集获取待运行应用程序的访问权限之前,还包括:
在所述访问控制装置中安装所述应用程序,并配置所述应用程序的权限集。
3.如权利要求2所述的访问控制方法,其特征在于,所述在所述访问控制装置中安装所述应用程序,并配置所述应用程序的权限集,包括:
接收所述应用程序所属用户的权限申请请求和所述应用程序信息;
判断所述权限申请请求是否审核通过;
在所述权限申请请求审核通过时,在所述访问控制装置中安装所述应用程序,并根据所述应用程序信息和所述权限申请请求配置所述应用程序的权限集。
4.一种访问控制装置,所述访问控制装置基于Hadoop集群,其特征在于,包括:
访问权限获取模块,用于在所述访问控制装置中安装的应用程序待运行时,根据所述应用程序的权限集获取待运行应用程序的访问权限;
第一设置模块,用于在所述Hadoop集群中运行虚拟系统程序,并根据所述待运行应用程序的访问权限对所述虚拟系统程序的访问权限进行设置,其中,在所述访问控制装置的Hadoop集群中运行一个或者多个所述虚拟系统程序,不同的虚拟系统程序的运行进程相互隔离;
运行模块,用于在所述虚拟系统程序中运行所述待运行应用程序,以使所述访问控制装置的当前用户能够访问所述Hadoop集群中的数据,其中,所述当前用户为所述访问控制装置为所述待运行应用程序动态创建的代理用户;
还包括:
第二设置模块,用于根据所述待运行应用程序的访问权限对所述当前用户的访问权限进行设置。
5.如权利要求4所述的访问控制装置,其特征在于,还包括:
安装模块,用于在所述访问控制装置中安装所述应用程序,并配置所述应用程序的权限集。
6.如权利要求5所述的访问控制装置,其特征在于,所述安装模块包括:
接收子模块,用于接收所述应用程序所属用户的权限申请请求和所述应用程序信息;
判断子模块,用于判断所述权限申请请求是否审核通过;
安装配置子模块,用于在所述权限申请请求审核通过时,在所述访问控制装置中安装所述应用程序,并根据所述应用程序信息和所述权限申请请求配置所述应用程序的权限集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610065833.5A CN105787382B (zh) | 2016-01-28 | 2016-01-28 | 访问控制方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610065833.5A CN105787382B (zh) | 2016-01-28 | 2016-01-28 | 访问控制方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105787382A CN105787382A (zh) | 2016-07-20 |
CN105787382B true CN105787382B (zh) | 2018-12-21 |
Family
ID=56402624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610065833.5A Active CN105787382B (zh) | 2016-01-28 | 2016-01-28 | 访问控制方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105787382B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106529274A (zh) * | 2016-10-26 | 2017-03-22 | 努比亚技术有限公司 | 终端及其信息安全保护方法 |
CN106776717A (zh) * | 2016-11-16 | 2017-05-31 | 北京集奥聚合科技有限公司 | 一种基于HBase的接口构造方法及系统 |
CN106778291B (zh) * | 2016-11-22 | 2019-09-17 | 北京安云世纪科技有限公司 | 应用程序的隔离方法及隔离装置 |
CN110889108B (zh) * | 2019-11-26 | 2022-02-08 | 网易(杭州)网络有限公司 | spark任务的提交方法、装置和服务器 |
CN112084491A (zh) * | 2020-08-26 | 2020-12-15 | 天津七一二通信广播股份有限公司 | 一种基于沙箱机制的集群虚拟用户系统实现方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101681404A (zh) * | 2007-03-30 | 2010-03-24 | 英国电讯有限公司 | 分布式计算机系统 |
CN102667791A (zh) * | 2009-11-20 | 2012-09-12 | 西门子公司 | 用于根据提供的权限信息访问控制数据的方法和装置 |
CN103020501A (zh) * | 2012-11-14 | 2013-04-03 | 曙光云计算技术有限公司 | 用户数据的访问控制方法和装置 |
CN103810444A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种云计算平台中多租户应用隔离的方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7409719B2 (en) * | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
-
2016
- 2016-01-28 CN CN201610065833.5A patent/CN105787382B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101681404A (zh) * | 2007-03-30 | 2010-03-24 | 英国电讯有限公司 | 分布式计算机系统 |
CN102667791A (zh) * | 2009-11-20 | 2012-09-12 | 西门子公司 | 用于根据提供的权限信息访问控制数据的方法和装置 |
CN103020501A (zh) * | 2012-11-14 | 2013-04-03 | 曙光云计算技术有限公司 | 用户数据的访问控制方法和装置 |
CN103810444A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种云计算平台中多租户应用隔离的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105787382A (zh) | 2016-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105787382B (zh) | 访问控制方法和装置 | |
US10489424B2 (en) | Different hierarchies of resource data objects for managing system resources | |
US9443101B2 (en) | Low-cost specification and enforcement of a privacy-by-consent-policy for online services | |
US20170300697A1 (en) | Enforcing security policies for software containers | |
US9270703B1 (en) | Enhanced control-plane security for network-accessible services | |
US11200121B2 (en) | Performance efficient time locks on data in a storage controller | |
US20140143367A1 (en) | Robustness in a scalable block storage system | |
US20210226956A1 (en) | Constrained roles for access management | |
US11005847B2 (en) | Method, apparatus and computer program product for executing an application in clouds | |
US20230123303A1 (en) | Adjusting resources within a hyperconverged infrastructure system based on environmental information | |
US9021479B2 (en) | Enforcing machine deployment zoning rules in an automatic provisioning environment | |
US9953104B2 (en) | Controlling access to one or more datasets of an operating system in use | |
CN110414267B (zh) | Bim设计软件安全存储和流转追溯监控技术、系统及装置 | |
US20230077424A1 (en) | Controlling access to resources during transition to a secure storage system | |
US9626377B1 (en) | Cluster file system with metadata server for controlling movement of data between storage tiers | |
CN114491451A (zh) | 权限配置和验证的方法、装置、电子设备及存储介质 | |
EP3921994B1 (en) | Adaptation of attack surface reduction clusters | |
US11204717B2 (en) | Object storage system with access control quota status check | |
US11558387B2 (en) | Validation of approver identifiers in a cloud computing environment | |
KR20220154822A (ko) | 분산 데이터 스토리지 환경들에서의 안전한 데이터 복제 | |
US9798864B2 (en) | Embedded integrated component governance policy | |
US11803634B2 (en) | Secure preconfigured profile for role-based access control setup | |
US11283869B2 (en) | Data governance in a dispersed storage network using bucket templates | |
US11200256B2 (en) | Record replication for multi-column partitioning on distributed database systems | |
US11194926B2 (en) | Intelligent authorization and protection of user data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |