CN106295384A - 一种大数据平台访问控制方法、装置和认证服务器 - Google Patents
一种大数据平台访问控制方法、装置和认证服务器 Download PDFInfo
- Publication number
- CN106295384A CN106295384A CN201510263423.7A CN201510263423A CN106295384A CN 106295384 A CN106295384 A CN 106295384A CN 201510263423 A CN201510263423 A CN 201510263423A CN 106295384 A CN106295384 A CN 106295384A
- Authority
- CN
- China
- Prior art keywords
- access
- access source
- big data
- source
- data platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 230000001960 triggered effect Effects 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 14
- 238000004590 computer program Methods 0.000 description 7
- 238000003860 storage Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000005192 partition Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000005336 cracking Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种大数据平台访问控制方法,接收访问源的访问请求;采用强认证方式对所述访问源的访问请求进行认证;所述访问源的访问请求被认证成功时,基于访问源的访问请求对所述大数据平台进行访问。本发明实施例还公开了一种大数据平台访问控制装置和一种认证服务器。
Description
技术领域
本发明涉及大数据平台安全性技术,尤其涉及一种大数据平台访问控制方法、装置和认证服务器。
背景技术
大数据平台,在数据的大规模的存放和高性能计算领域有无可比拟的优越性,能够提供高效的大数据存储、计算、运维和监控服务。然而,大数据平台在提升工作效率的同时,也带来了如下安全问题:大数据平台一般通过自身所属的操作系统利用静态密码方式认证,这样,就可以通过网络监听截获大数据平台用户的用户名和密码,也可以通过暴力破解的方式登录到大数据平台进行非法操作。
发明内容
为解决上述技术问题,本发明实施例期望提供一种大数据平台访问控制方法、装置和认证服务器,能够加强对大数据平台的访问控制,增强大数据平台的安全性。
本发明的技术方案是这样实现的:
本发明实施例提供的一种大数据平台访问控制方法,包括:
接收访问源的访问请求;
采用强认证方式对所述访问源的访问请求进行认证;
所述访问源的访问请求被认证成功时,基于所述访问源的访问请求对所述大数据平台进行访问。
上述方案中,所述访问源的访问请求包括所述访问源的身份信息和所述访问源对所述大数据平台的操作请求信息;
所述采用强认证方式对所述访问源的访问请求进行认证,包括:
采用强认证方式对所述访问源的身份信息进行认证;如果认证不成功,则结束对所述访问源的访问请求的认证流程;如果认证成功,则根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;
如果访问源具有进行对应操作的权限,则所述访问源的访问请求被认证成功;否则,结束对所述访问源的访问请求的认证流程。
上述方案中,所述访问源的访问请求包括所述访问源的身份信息、所述访问源需要访问的大数据平台的组件的标识信息和所述访问源对所述大数据平台的操作请求信息;
所述采用强认证方式对所述访问源的访问请求进行认证,包括:
采用强认证方式对所述访问源的身份信息进行认证;如果认证不成功,则结束对所述访问源的访问请求的认证流程;如果认证成功,则根据所述访问源的身份和所述访问源需要访问的大数据平台的组件的标识信息,判断访问源是否有访问大数据平台的对应组件的权限;如果没有,则结束对所述访问源的访问请求的认证流程,如果有,则根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;
如果访问源具有进行对应操作的权限,则所述访问源的访问请求被认证成功;否则,结束对所述访问源的访问请求的认证流程。
上述方案中,所述基于访问源的访问请求对大数据平台进行访问,包括:
基于所述访问源对所述大数据平台的操作请求信息,对大数据平台进行操作,并将对大数据平台操作的结果发送至所述访问源。
上述方案中,所述采用强认证方式对所述访问源的访问请求进行认证,包括:利用Kerberos认证协议并采用强认证方式对所述访问源的访问请求进行认证。
本发明实施例提供的一种大数据平台访问控制装置,包括接收模块、认证模块和访问模块;其中,
接收模块,用于接收访问源的访问请求;
认证模块,用于采用强认证方式对所述访问源的访问请求进行认证;
访问模块,用于在所述访问源的访问请求被认证成功时,基于所述访问源的访问请求对所述大数据平台进行访问。
上述方案中,所述访问源的访问请求包括所述访问源的身份信息、所述访问源需要访问的大数据平台的组件的标识信息和所述访问源对所述大数据平台的操作请求信息;
所述认证模块包括第一认证单元和第一鉴权单元,或者,所述认证模块包括第二认证单元、第二鉴权单元和第三鉴权单元;其中,
所述第一认证单元,用于采用强认证方式对所述访问源的身份信息进行认证;在对所述访问源的身份信息认证不成功时,结束对所述访问源的访问请求的认证流程;在对所述访问源的身份信息认证成功时,触发所述第一鉴权单元;
所述第一鉴权单元,用于在受到所述第一认证单元的触发时,根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;在访问源具有进行对应操作的权限时,判定所述访问源的访问请求被认证成功;在访问源没有进行对应操作的权限时,结束对所述访问源的访问请求的认证流程;
所述第二认证单元,用于采用强认证方式对所述访问源的身份信息进行认证;在对所述访问源的身份信息认证不成功时,结束对所述访问源的访问请求的认证流程;在对所述访问源的身份信息认证成功时,触发所述第二鉴权单元;
所述第二鉴权单元,用于在受到所述第二认证单元的触发时,根据所述访问源的身份和所述访问源需要访问的大数据平台的组件的标识信息,判断访问源是否有访问大数据平台的对应组件的权限;当访问源没有访问大数据平台的对应组件的权限时,结束对所述访问源的访问请求的认证流程;当访问源有访问大数据平台的对应组件的权限时,触发所述第三鉴权单元;
所述第三鉴权单元,用于在受到第二鉴权单元的触发时,根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;当访问源具有进行对应操作的权限时,判定所述访问源的访问请求被认证成功;当访问源没有进行对应操作的权限时,结束对所述访问源的访问请求的认证流程。
上述方案中,所述访问模块用于在所述访问源的访问请求被认证成功时,基于访问源的访问请求对所述大数据平台进行访问,包括:
所述访问模块用于基于所述访问源对所述大数据平台的操作请求信息,对大数据平台进行操作,将对大数据平台操作的结果发送至所述访问源。
上述方案中,所述认证模块,用于利用Kerberos认证协议并采用强认证方式对所述访问源的访问请求进行认证。
本发明实施例提供的一种认证服务器,包括上述任一种大数据平台访问控制装置。
本发明实施例提供了大数据平台访问控制方法、装置和认证服务器,通过强认证方式对访问源的访问请求进行认证,如此,就可以通过设置访问控制策略,加强对大数据平台的访问控制,提高大数据平台的访问安全性,保证大数据平台的正常运行。
附图说明
图1为本发明实施例大数据平台访问控制方法的流程图;
图2为本发明实施例大数据平台访问控制装置的组成结构示意图;
图3为本发明实施例大数据平台访问控制装置的认证模块的第一组成结构示意图;
图4为发明实施例大数据平台访问控制装置的认证模块的第二组成结构示意图;
图5为本发明大数据平台访问控制方法的第一实施例的流程图;
图6为本发明大数据平台访问控制方法的实施例中用户登录的流程示意图;
图7为本发明大数据平台访问控制方法的第二实施例的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
图1为本发明实施例大数据平台访问控制方法的流程图,如图1所示,该方法包括:
步骤100:接收访问源的访问请求。
这里,访问源可以是用户,也可以是应用程序;访问源的访问请求包括:访问源的身份信息、访问源需要访问的大数据平台的组件的标识信息和访问源对所述大数据平台的操作请求信息。
在实际应用中,访问源的身份信息可以是用户名和密码;访问源需要访问的大数据平台的组件可以是组成大数据平台的任一组成部分,组件的标识信息用来与其他组件作出区别,组件的标识信息包括但不限于名称、编号等信息。访问源对大数据平台的操作请求信息包括但不限于读取数据、打开文件、创建文件、删除文件等。
步骤101:采用强认证方式对所述访问源的访问请求进行认证。
具体地,强认证方式包括以下认证方式中的一种:证书认证方式、动态口令认证方式、短信挑战码(短信验证码)认证方式或双因素认证方式;双因素认证方式由两种认证方式组成,例如,其中的一种认证方式是静态密码认证方式,另一种认证方式是证书认证方式、动态口令认证方式或短信挑战码(短信验证码)。
本步骤中,采用强认证方式对所述访问源的访问请求进行认证的实现方法包括方法一和方法二:
方法一:
采用强认证方式对所述访问源的身份信息进行认证;如果认证不成功,则结束对所述访问源的访问请求的认证流程;如果认证成功,则根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限。
如果访问源具有进行对应操作的权限,则所述访问源的访问请求被认证成功;否则,结束对所述访问源的访问请求的认证流程。
这里,根据方法一的实现流程,可以在接收访问源的身份信息的同时接收访问源对所述大数据平台的操作请求信息,也可以在对所述访问源的身份信息认证成功之后接收访问源对所述大数据平台的操作请求信息。
方法二:
采用强认证方式对所述访问源的身份信息进行认证;如果认证不成功,则结束对所述访问源的访问请求的认证流程;如果认证成功,则根据所述访问源的身份和所述访问源需要访问的大数据平台的组件的标识信息,判断访问源是否有访问大数据平台的对应组件的权限;如果没有,则结束对所述访问源的访问请求的认证流程,如果有,则根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限。
如果访问源具有进行对应操作的权限,则所述访问源的访问请求被认证成功;否则,结束对所述访问源的访问请求的认证流程。
这里,所述访问源对所述大数据平台的操作请求信息是访问源对所述大数据平台的对应组件的操作请求信息。
这里,根据方法二的实现流程,可以在接收访问源的身份信息的同时接收访问源需要访问的大数据平台的组件的标识信息,也可以在对所述访问源的身份信息认证成功之后接收访问源需要访问的大数据平台的组件的标识信息。同理,可以在接收访问源的身份信息的同时接收访问源对所述大数据平台的操作请求信息,也可以在判断访问源有访问大数据平台的对应组件的权限之后,再接收访问源对所述大数据平台的操作请求信息。
本步骤中,还可以利用Kerberos认证协议并采用强认证方式,对所述访问源的访问请求进行认证。
步骤102:所述访问源的访问请求被认证成功时,基于访问源的访问请求对所述大数据平台进行访问。
进一步的,如果所述访问源的访问请求被认证失败,则直接结束当前流程。
具体地,基于访问源的访问请求对大数据平台进行访问,包括:基于所述访问源对所述大数据平台的操作请求信息,对大数据平台进行操作,并将对大数据平台操作的结果发送至所述访问源。例如,如果访问源是用户,对大数据平台进行操作之后,将对大数据平台操作的结果发送至用户所处的客户端。
图2为本发明实施例大数据平台访问控制装置的组成结构示意图,如图2所示,该装置包括:接收模块200、认证模块201和访问模块202;其中,
接收模块200,用于接收访问源的访问请求。
认证模块201,用于采用强认证方式对所述访问源的访问请求进行认证。
这里,所述认证模块201,可以是用于利用Kerberos认证协议并采用强认证方式,对所述访问源的访问请求进行认证。
访问模块202,用于在所述访问源的访问请求被认证成功时,基于所述访问源的访问请求对所述大数据平台进行访问。
具体地,基于访问源的访问请求对所述大数据平台进行访问包括:基于访问源对所述大数据平台的操作请求信息,对大数据平台进行操作,并用于将对大数据平台操作的结果发送至所述访问源。也就是说,访问源对所述大数据平台的访问过程可以通过访问模块实现。
图3为本发明实施例大数据平台访问控制装置的认证模块的第一组成结构示意图,图4为本发明实施例大数据平台访问控制装置的认证模块的第二组成结构示意图;如图3和图4所示,所述认证模块201包括第一认证单元300和第一鉴权单元301,或者,所述认证模块201包括第二认证单元400、第二鉴权单元401和第三鉴权单元402。
如图3所示,第一认证单元300,用于采用强认证方式对所述访问源的身份信息进行认证;用于在对所述访问源的身份信息认证不成功时,结束对所述访问源的访问请求的认证流程;用于在对所述访问源的身份信息认证成功时,触发第一鉴权单元301。
第一鉴权单元301,用于在受到所述第一认证单元的触发时,根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;在访问源具有进行对应操作的权限时,判定所述访问源的访问请求被认证成功;在访问源没有进行对应操作的权限时,结束对所述访问源的访问请求的认证流程。
如图4所示,第二认证单元400,用于采用强认证方式对所述访问源的身份信息进行认证;在对所述访问源的身份信息认证不成功时,结束对所述访问源的访问请求的认证流程;在对所述访问源的身份信息认证成功时,触发鉴权模块401。
第二鉴权单元401,用于在受到第二认证单元的触发时,根据所述访问源的身份和所述访问源需要访问的大数据平台的组件的标识信息,判断访问源是否有访问大数据平台的对应组件的权限;当访问源没有访问大数据平台的对应组件的权限时,结束对所述访问源的访问请求的认证流程;当访问源有访问大数据平台的对应组件的权限时,触发第三鉴权单元402。
第三鉴权单元402,用于在受到第二鉴权单元的触发时,根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;当访问源具有进行对应操作的权限时,判定所述访问源的访问请求被认证成功;当访问源没有进行对应操作的权限时,结束对所述访问源的访问请求的认证流程。
在实际应用中,所述接收模块200、认证模块201和访问模块202均可由位于认证服务器中的中央处理器(Central Processing Unit,CPU)、微处理器(Micro Processor Unit,MPU)、数字信号处理器(Digital Signal Processor,DSP)、或现场可编程门阵列(Field Programmable Gate Array,FPGA)等实现。
本发明实施例还提供了一种认证服务器,该认证服务器包括上述任一大数据平台访问控制装置。
下面结合具体实施例对本发明进行详细描述。
在本发明大数据平台访问控制方法的各种实施例中,大数据平台采用Hadoop大数据平台,Hadoop在作为企业级的数据存储平台,通常包括以下组件:HDFS组件、HIVE组件、HBASE组件、MAPREDUCE JOB组件。
图5为本发明大数据平台访问控制方法的第一实施例的流程图,如图5所示,该方法包括:
步骤500:接收访问源对Hadoop大数据平台的访问请求。
这里,访问源可以是用户,也可以是应用程序,访问源对Hadoop大数据平台的访问请求包括:访问源的身份信息、访问源对Hadoop大数据平台的操作请求。
具体地,访问源的身份信息包括账号和密码,其中账号可以说明用访问源的身份,例如,访问源的身份是大数据分析员或大数据维护员,大数据分析员对Hadoop大数据平台的数据有只读权限,而大数据维护员对Hadoop大数据平台的数据有读写权限。
具体地,访问源对Hadoop大数据平台的操作请求包括相应的操作请求名称,访问源对Hadoop大数据平台的操作请求可以分为两类,一类是读取大数据平台的数据,另一类是对大数据平台的数据进行写操作。该实施例中,访问源对Hadoop大数据平台的操作请求参见表1所示。
表1
步骤501:利用Kerberos认证协议并采用双因素认证方式对所述访问源的身份信息进行认证;如果认证不成功,则结束对所述访问源的访问请求的认证流程;如果认证成功,执行步骤502。
这里,双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。因每次认证时的随机参数不同,所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性,从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。
步骤501中,在利用Kerberos认证协议并采用双因素认证方式对所述访问源的身份信息进行认证的过程中,不仅对访问源的身份信息进行认证,还对大数据平台的账号进行认证。
下面以用户登录为例,对所述访问源的身份信息进行认证进行说明。图6为本发明大数据平台访问控制方法的实施例中用户登录的流程示意图,如图6所示,该流程包括:
步骤600:用户在登录界面输入账号和密码,这里,用户输入的密码是由动态密码对静态密码进行加密后形成的。
步骤601:判断账号是否存在,如果账号不存在或已删除,则返回登录界面并给出对应提示,例如,提示为“抱歉,您输入的帐号不存在或密码错误”;如果账号存在,执行步骤602。
步骤602:判断账号是否处于被锁定状态,如果账号已被锁定,则返回登录界面并给出对应提示;如果账号未被锁定,执行步骤603。
步骤603:判断密码是否与账号匹配,如果匹配,则登录成功,说明对访问源的身份信息认证成功;如果不匹配,执行步骤604。
步骤604:判断此账号同一天内是否连续输入三次错误的密码,如果是,则锁定此账号,并返回登录界面并给出对应提示,如此,可以防止进行暴力破解;如果否,则返回登录界面并给出对应提示。
在步骤600至步骤604中,还可以设置代理模块,客户端与认证服务器的交互,均由代理模块实现。
步骤502:根据所述访问源对Hadoop大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限,如果访问源具有进行对应操作的权限,则所述访问源的访问请求被认证成功,执行步骤503;否则,结束对所述访问源的访问请求的认证流程。
具体地,在判断访问源是否具有进行对应操作的权限时,要结合访问源的账号进行判断,这里,可以事先制定如下访问规则:对于每个访问源,都有对应的被允许的对Hadoop大数据平台的操作请求;这样,当需要判断访问源是否具有进行对应操作的权限时,就可以根据该访问规则进行判断。
本步骤中,如果访问源具有进行对应操作的权限,则说明账号处于同步状态;否则,账号不处于同步状态,可以向用户返回提示“抱歉,您的帐号尚未同步,无法操作大数据系统。若需要操作大数据系统请与管理员联系”。
步骤503:基于访问源的访问请求对Hadoop大数据平台进行访问。
具体地,基于访问源的访问请求对Hadoop大数据平台进行访问,包括:基于所述访问源对Hadoop大数据平台的操作请求信息,对Hadoop大数据平台进行操作,并将对Hadoop大数据平台操作后的数据发送至所述访问源。例如,如果访问源是用户,对Hadoop大数据平台进行操作之后,将对Hadoop大数据平台操作的结果发送至用户所处的客户端。
在实际应用中,当访问源的访问请求被认证成功时,访问源就可以基于访问源的访问请求对所述大数据平台进行访问;这里,访问源对所述大数据平台的访问过程通过单独的访问模块实现,访问模块为访问源提供访问Hadoop大数据平台的API(Application programming interface)服务,Hadoop大数据平台只信任访问模块发出的操作请求,如果用户或程序直接访问Hadoop大数据平台,相应请求将被拒绝。
具体地,访问模块提供的访问Hadoop大数据平台的API服务至少包括如下内容:
1)对于HDFS组件,提供文件夹和文件的管理服务,包括文件夹和文件的增加、删除、修改及查询。
2)对于HIVE组件,提供DDL操作服务和其它SQL操作服务。
3)对于HBASE组件,提供DDL操作、CELL查询、CELL删除、单值存储和批量值存储等服务
4)对于MAPREDUCE JOB组件,提供JOB的提交、取消和状态查询的服务。
访问模块提供的访问Hadoop大数据平台的API服务还可以参见表2至表5,其中,表2说明了访问模块提供的对HDFS组件的操作服务,表3说明了访问模块提供的对MAPREDUCE JOB组件的操作服务,表4说明了访问模块提供的对HIVE组件的操作服务,表5说明了访问模块提供的对HBASE组件的操作服务。
表2
表3
表4
操作码 | 操作 | 请求方式 |
QUERY | 运行一个hive查询 | POST |
LISTDB | 显示所有数据库列表 | GET |
DESCDB | 描述一个数据库 | GET |
CRTDB | 创建一个数据库 | PUT |
DELDB | 删除一个数据库 | DELETE |
LISTTABLE | 显示数据库中所有的表 | GET |
DESCTABLE | 描述一个表 | GET |
CRTTABLE | 创建一个表 | PUT |
DELTABLE | 删除一个表 | DELETE |
CRTTABLELIKE | 使用已存在的表创建一个表 | PUT |
LISTPARTITION | 显示所有分区信息 | GET |
CRTPARTITION | 创建一个分区 | PUT |
DELPARTITION | 删除指定分区 | DELETE |
DESCPARTITION | 描述指定分区 | GET |
LISTCOLUMN | 显示一个表中所有列信息 | GET |
CRTCOLUMN | 创建列 | PUT |
DESCCOLUMN | 描述指定的列 | GET |
LISTPROPERTY | 显示一个表中所有属性 | GET |
CRTPROPERTY | 创建表的属性 | PUT |
DESCPROPERTY | 描述指定的属性 | GET |
RENAME | 重命名一个已存在的表 | POST |
DDL | 执行DDL | POST |
表5
操作码 | 操作 | 请求方式 |
CLUSTERSTATUS | 显示集群信息 | GET |
CREATETABLE | 创建表 | PUT |
DELETETABLE | 删除表 | DELETE |
LISTTABLE | 显示所有表列表 | GET |
VERSION | 显示集群版本 | GET |
DESCTABLE | 描述一个表 | GET |
PUT | 数据插入 | PUT |
GET | 查询 | GET |
DELETE | 删除数据 | DELETE |
CRTSCANNER | 创建Scanner | PUT |
GETNEXTSCANNER | 获取Scanner | GET |
DELSCANNER | 删除Scanner | DELETE |
在实际应用中,当访问模块完成每一次对Hadoop大数据平台的操作后,就将本次Hadoop大数据平台的操作日志记录在访问模块内,每次Hadoop大数据平台的操作日志包括对Hadoop大数据平台操作的内容、以及访问源的账号。这样,所有用户或程序对Hadoop大数据平台的操作内容都被记录在访问模块内,便于对操作日志进行关联分析和集中审计,也便于根据访问源的账号实现定位追责。
图7为本发明大数据平台访问控制方法的第二实施例的流程图,如图7所示,该方法包括:
步骤700与步骤500基本一致,其区别点在于,访问源对Hadoop大数据平台的访问请求除了包括访问源的身份信息和访问源对Hadoop大数据平台的操作请求之外,还包括访问源需要访问的大数据平台的组件的标识信息。
这里,访问源需要访问的大数据平台的组件可以是HDFS组件、HIVE组件、HBASE组件、MAPREDUCE JOB组件,也可以是顶层组件中的文件夹、文件、表、字段等组成部分,顶层组件指HDFS组件、HIVE组件、HBASE组件或MAPREDUCE JOB组件。
步骤701:利用Kerberos认证协议并采用双因素认证方式对所述访问源的身份信息进行认证;如果认证不成功,则结束对所述访问源的访问请求的认证流程;如果认证成功,执行步骤702。
步骤701的实现方式与步骤501的实现方式相同,在此不再赘述。
步骤702:根据访问源的身份和所述访问源需要访问的Hadoop大数据平台的组件的标识信息,判断访问源是否有访问大数据平台的对应组件的权限;如果没有,则结束对所述访问源的访问请求的认证流程,如果有,则执行步骤703。
具体地,在判断访问源是否有访问大数据平台的对应组件的权限时,要结合访问源的账号进行认证。这里,可以事先制定如下访问规则:对于每个访问源,都有对应的被允许的对Hadoop大数据平台的对应组件进行操作的权限;在本步骤中就可以根据该访问规则判断访问源是否有访问大数据平台的对应组件的权限。
步骤703:根据所述访问源对所述Hadoop大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;如果访问源具有进行对应操作的权限,则所述访问源的访问请求被认证成功,执行步骤704;否则,结束对所述访问源的访问请求的认证流程。
这里,所述访问源对所述大数据平台的操作请求信息是访问源对所述大数据平台的对应组件的操作请求信息。
步骤703的实现方式与步骤502的实现方式一致,这里不再赘述。
步骤704:基于访问源的访问请求对Hadoop大数据平台进行访问。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种大数据平台访问控制方法,其特征在于,所述方法包括:
接收访问源的访问请求;
采用强认证方式对所述访问源的访问请求进行认证;
所述访问源的访问请求被认证成功时,基于所述访问源的访问请求对所述大数据平台进行访问。
2.根据权利要求1所述的方法,其特征在于,所述访问源的访问请求包括所述访问源的身份信息和所述访问源对所述大数据平台的操作请求信息;
所述采用强认证方式对所述访问源的访问请求进行认证,包括:
采用强认证方式对所述访问源的身份信息进行认证;如果认证不成功,则结束对所述访问源的访问请求的认证流程;如果认证成功,则根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;
如果访问源具有进行对应操作的权限,则所述访问源的访问请求被认证成功;否则,结束对所述访问源的访问请求的认证流程。
3.根据权利要求1所述的方法,其特征在于,所述访问源的访问请求包括所述访问源的身份信息、所述访问源需要访问的大数据平台的组件的标识信息和所述访问源对所述大数据平台的操作请求信息;
所述采用强认证方式对所述访问源的访问请求进行认证,包括:
采用强认证方式对所述访问源的身份信息进行认证;如果认证不成功,则结束对所述访问源的访问请求的认证流程;如果认证成功,则根据所述访问源的身份和所述访问源需要访问的大数据平台的组件的标识信息,判断访问源是否有访问大数据平台的对应组件的权限;如果没有,则结束对所述访问源的访问请求的认证流程,如果有,则根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;
如果访问源具有进行对应操作的权限,则所述访问源的访问请求被认证成功;否则,结束对所述访问源的访问请求的认证流程。
4.根据权利要求2或3所述的方法,其特征在于,所述基于访问源的访问请求对大数据平台进行访问,包括:
基于所述访问源对所述大数据平台的操作请求信息,对大数据平台进行操作,并将对大数据平台操作的结果发送至所述访问源。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述采用强认证方式对所述访问源的访问请求进行认证,包括:利用Kerberos认证协议并采用强认证方式对所述访问源的访问请求进行认证。
6.一种大数据平台访问控制装置,其特征在于,所述装置包括接收模块、认证模块和访问模块;其中,
接收模块,用于接收访问源的访问请求;
认证模块,用于采用强认证方式对所述访问源的访问请求进行认证;
访问模块,用于在所述访问源的访问请求被认证成功时,基于所述访问源的访问请求对所述大数据平台进行访问。
7.根据权利要求6所述的装置,其特征在于,所述访问源的访问请求包括所述访问源的身份信息、所述访问源需要访问的大数据平台的组件的标识信息和所述访问源对所述大数据平台的操作请求信息;
所述认证模块包括第一认证单元和第一鉴权单元,或者,所述认证模块包括第二认证单元、第二鉴权单元和第三鉴权单元;其中,
所述第一认证单元,用于采用强认证方式对所述访问源的身份信息进行认证;在对所述访问源的身份信息认证不成功时,结束对所述访问源的访问请求的认证流程;在对所述访问源的身份信息认证成功时,触发所述第一鉴权单元;
所述第一鉴权单元,用于在受到所述第一认证单元的触发时,根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;在访问源具有进行对应操作的权限时,判定所述访问源的访问请求被认证成功;在访问源没有进行对应操作的权限时,结束对所述访问源的访问请求的认证流程;
所述第二认证单元,用于采用强认证方式对所述访问源的身份信息进行认证;在对所述访问源的身份信息认证不成功时,结束对所述访问源的访问请求的认证流程;在对所述访问源的身份信息认证成功时,触发所述第二鉴权单元;
所述第二鉴权单元,用于在受到所述第二认证单元的触发时,根据所述访问源的身份和所述访问源需要访问的大数据平台的组件的标识信息,判断访问源是否有访问大数据平台的对应组件的权限;当访问源没有访问大数据平台的对应组件的权限时,结束对所述访问源的访问请求的认证流程;当访问源有访问大数据平台的对应组件的权限时,触发所述第三鉴权单元;
所述第三鉴权单元,用于在受到第二鉴权单元的触发时,根据所述访问源对所述大数据平台的操作请求信息,判断访问源是否具有进行对应操作的权限;当访问源具有进行对应操作的权限时,判定所述访问源的访问请求被认证成功;当访问源没有进行对应操作的权限时,结束对所述访问源的访问请求的认证流程。
8.根据权利要求7所述的装置,其特征在于,所述访问模块用于在所述访问源的访问请求被认证成功时,基于访问源的访问请求对所述大数据平台进行访问,包括:
所述访问模块用于基于所述访问源对所述大数据平台的操作请求信息,对大数据平台进行操作,将对大数据平台操作的结果发送至所述访问源。
9.根据权利要求6或7所述的装置,其特征在于,所述认证模块,用于利用Kerberos认证协议并采用强认证方式对所述访问源的访问请求进行认证。
10.一种认证服务器,其特征在于,所述认证服务器包括权利要求6至9任一项所述的装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510263423.7A CN106295384B (zh) | 2015-05-21 | 2015-05-21 | 一种大数据平台访问控制方法、装置和认证服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510263423.7A CN106295384B (zh) | 2015-05-21 | 2015-05-21 | 一种大数据平台访问控制方法、装置和认证服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106295384A true CN106295384A (zh) | 2017-01-04 |
CN106295384B CN106295384B (zh) | 2020-04-10 |
Family
ID=57632862
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510263423.7A Active CN106295384B (zh) | 2015-05-21 | 2015-05-21 | 一种大数据平台访问控制方法、装置和认证服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106295384B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109410357A (zh) * | 2018-10-23 | 2019-03-01 | 重庆扬升信息技术有限公司 | 一种远程智能政务会议系统基于移动端的签到预测方法 |
CN109756499A (zh) * | 2019-01-07 | 2019-05-14 | 陈庆梅 | 大数据安全访问控制系统 |
CN110753025A (zh) * | 2019-01-07 | 2020-02-04 | 陈庆梅 | 大数据安全访问控制方法 |
CN112989401A (zh) * | 2019-12-13 | 2021-06-18 | 北京金山云网络技术有限公司 | 一种权限管理方法、装置、电子设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104363095A (zh) * | 2014-11-12 | 2015-02-18 | 浪潮(北京)电子信息产业有限公司 | 一种hadoop的身份认证机制构建方法 |
-
2015
- 2015-05-21 CN CN201510263423.7A patent/CN106295384B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104363095A (zh) * | 2014-11-12 | 2015-02-18 | 浪潮(北京)电子信息产业有限公司 | 一种hadoop的身份认证机制构建方法 |
Non-Patent Citations (2)
Title |
---|
梁铭会: "Kerberos认证协议", 《网络与信息安全中级学员教材》 * |
黄晶: "面向Hadoop大数据处理的访问控制与通信安全性研究", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109410357A (zh) * | 2018-10-23 | 2019-03-01 | 重庆扬升信息技术有限公司 | 一种远程智能政务会议系统基于移动端的签到预测方法 |
CN109410357B (zh) * | 2018-10-23 | 2020-10-27 | 重庆扬升信息技术有限公司 | 一种远程智能政务会议系统基于移动端的签到预测方法 |
CN109756499A (zh) * | 2019-01-07 | 2019-05-14 | 陈庆梅 | 大数据安全访问控制系统 |
CN110753025A (zh) * | 2019-01-07 | 2020-02-04 | 陈庆梅 | 大数据安全访问控制方法 |
CN109756499B (zh) * | 2019-01-07 | 2020-02-21 | 武汉东湖大数据交易中心股份有限公司 | 大数据安全访问控制系统 |
CN112989401A (zh) * | 2019-12-13 | 2021-06-18 | 北京金山云网络技术有限公司 | 一种权限管理方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN106295384B (zh) | 2020-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20170289134A1 (en) | Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database | |
US20180054460A1 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
EP3123692B1 (en) | Techniques to operate a service with machine generated authentication tokens | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
CN110675144A (zh) | 加强区块链交易的不可抵赖性 | |
CN111931144B (zh) | 一种操作系统与业务应用统一安全登录认证方法及装置 | |
US9729538B2 (en) | System, method and process for detecting advanced and targeted attacks with the recoupling of kerberos authentication and authorization | |
CN110690972B (zh) | 令牌认证方法、装置、电子设备及存储介质 | |
WO2019205389A1 (zh) | 电子装置、基于区块链的身份验证方法、程序和计算机存储介质 | |
CN108632241B (zh) | 一种多应用系统统一登录方法和装置 | |
US20180227288A1 (en) | Password security | |
CN106295384B (zh) | 一种大数据平台访问控制方法、装置和认证服务器 | |
CN110225017B (zh) | 基于联盟区块链的身份验证方法、设备及存储介质 | |
EP4062351A1 (en) | Know your customer (kyc) and anti-money laundering (aml) verification in a multi-decentralized private blockchains network | |
US11394698B2 (en) | Multi-party computation (MPC) based authorization | |
CN114629713B (zh) | 身份验证方法、装置及系统 | |
CN113591121A (zh) | 一种资源访问权限的配置方法、装置、设备和存储介质 | |
CN113364800A (zh) | 资源访问控制方法、装置、电子设备和介质 | |
KR20210142823A (ko) | 블록체인 기반의 데이터 관리 방법 및 장치 | |
WO2018167328A1 (en) | Data processing apparatus and methods | |
CN118260264A (zh) | 一种用于分布式文件系统的用户友好型加密存储系统及方法 | |
CN114510701A (zh) | 单点登录方法、装置、设备及存储介质 | |
CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |