CN106301791B - 一种基于大数据平台的统一用户认证授权的实现方法及系统 - Google Patents

一种基于大数据平台的统一用户认证授权的实现方法及系统 Download PDF

Info

Publication number
CN106301791B
CN106301791B CN201610706007.4A CN201610706007A CN106301791B CN 106301791 B CN106301791 B CN 106301791B CN 201610706007 A CN201610706007 A CN 201610706007A CN 106301791 B CN106301791 B CN 106301791B
Authority
CN
China
Prior art keywords
user
management
big data
bill
management center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610706007.4A
Other languages
English (en)
Other versions
CN106301791A (zh
Inventor
陈澔
臧永真
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201610706007.4A priority Critical patent/CN106301791B/zh
Publication of CN106301791A publication Critical patent/CN106301791A/zh
Application granted granted Critical
Publication of CN106301791B publication Critical patent/CN106301791B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于大数据平台的统一用户认证授权的实现方法及系统,属于大数据应用领域,本发明要解决的技术问题为如何能够实现大数据平台下分布式用户管理、认证和授权,从而对用户和访问权限做统一管理,有效保护敏感数据,同时为用户、权限管理和核心数据提供审计功能,采用的技术方案为:该方法包括如下步骤:(1)、统一用户管理:为整个大数据平台建立统一的用户管理中心,用以存储用户名、密码、用户信息以及所在组的信息;同时用户管理中心底层依赖票据管理服务,通过调用依赖票据管理服务的相关接口为每个用户创建对应票据;(2)、票据管理、统一存储及安全传输;(3)、分布式用户管理与组映射;(4)、统一权限管理。

Description

一种基于大数据平台的统一用户认证授权的实现方法及系统
技术领域
本发明涉及大数据应用领域,具体地说是一种基于大数据平台的统一用户认证授权的实现方法及系统。
背景技术
大数据技术:大数据(big data),指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。大数据技术的战略意义不在于掌握庞大的数据信息,而在于对这些含有意义的数据进行专业化处理。换而言之,如果把大数据比作一种产业,那么这种产业实现盈利的关键,在于提高对数据的“加工能力”,通过“加工”实现数据的“增值”。
身份验证技术:身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
kerberos协议:其设计目标是通过密钥系统为客户机/服务器应用程序提供认证服务。认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
多租户技术:或称多重租赁技术,是一种软件架构技术,它是在探讨与实现如何于多用户的环境下共用相同的系统或程序组件,并且仍可确保各用户间数据的隔离性。
随着大数据技术日臻成熟,其在政府、企业等得到了越来越广泛的应用。传统应用正逐步与大数据平台进行集成和整合,包括业务数据、交易数据、用户数据、日志、历史数据等多种类型的数据被逐步导入到大数据平台中并进行分析与预测。随着导入数据的种类越来越多,数据量级越来越大,大数据平台中涉及的数据也越发敏感,数据安全变得尤为重要。目前大数据组件间各自为战,缺乏统一的安全认证及授权体系,无法适应传统政府、企业中用户、权限管理复杂及多租户需求。
发明内容
本发明的技术任务是提供一种基于大数据平台的统一用户认证授权的实现方法及系统,来解决如何能够实现大数据平台下分布式用户管理、认证和授权,从而对用户和访问权限做统一管理,有效保护敏感数据,同时为用户、权限管理和核心数据提供审计功能的问题。
本发明的技术任务是按以下方式实现的,一种基于大数据平台的统一用户认证授权的实现方法,该方法包括如下步骤:
(1)、统一用户管理:为整个大数据平台建立统一的用户管理中心,用以存储用户名、密码、用户信息以及所在组的信息;同时用户管理中心底层依赖票据管理服务,通过调用依赖票据管理服务的相关接口为每个用户创建对应票据;
(2)、票据管理、统一存储及安全传输:用户管理中心创建用户后调用票据管理服务,建立相关的用户票据,并为用户分配适当的票据管理权限;同时为每个用户生成票据文件并存储在票据管理中心,票据管理中心负责票据文件的统一存储、分发及安全传输;
(3)、分布式用户管理与组映射:在大数据平台上,任务执行用户采用分布式管理,任务执行用户最终需要映射到主机对应用户及组上,在各个主机上部署用户管理agent,用以统一用户的创建、删除、组映射及管理的工作;各个主机上的用户管理agent以心跳的形式向用户管理中心报告本机用户信息,用户管理中心核实用户信息,并向各个agent反馈对应操作;
(4)、统一权限管理:在大数据平台中,各个大数据组件都有自己的权限管理模式及方法,用户管理中心为各种管理模式建立适当的抽象,并为各种大数据组件建立统一的权限管理模型;通过向各个大数据组件中插入插件的模式,实现权限的统一管理;大数据组件权限管理插件定期向用户中心发出请求,获取用户的最新权限,并在本地进行缓存;当用户调用相关大数据组件的服务时,首先核对用户信息与本地权限缓存,并根据权限规则作出相关处理。
一种基于大数据平台的统一用户认证授权系统,该系统包括用户管理中心、票据管理中心和主机,用户管理中心连接票据管理中心,票据管理中心连接主机;
其中,用户管理中心负责存储用户名、密码、用户信息以及所在组的信息;
票据管理中心用于负责票据文件的统一存储、分发及安全传输;
主机用于通过用户消息队列向用户管理中心传输用户信息,用户管理中心根据用户信息管理主机的权限。
作为优选,所述主机内部署用户管理agent,用于同一用户的创建、删除、组映射以及管理的工作。
作为优选,所述主机内部部署大数据组件,大数据组件中插入插件,通过插件实现用户权限的统一管理。
本发明的基于大数据平台的统一用户认证授权的实现方法及系统具有以下优点:
1、本发明解决大数据平台统一用户管理及认证问题,为大数据平台建立统一的用户管理,并保证在分布式平台上用户的同步;还解决大数据平台统一权限管理,为各种大数据组件建立统一的用户权限管理模型,实现用户权限的统一管理;
2、本发明有效实现了用户统一的管理,包括用户名、密码以及票据、用户票据的统一存储与安全传输、统一用户组关联、用户组与权限管理以及大数据组件插件,同步用户权限同步;同时确保对用户以及访问权限做统一管理,有效保护敏感数据,并为用户、权限管理、核心数据提供审计功能;
3、本发明通过对用户进行统一管理,并为用户创建对应的票据并实现统一管理;在分布式的各个主机上,通过agent保证用户的一致性及同步性;定期获取主机的用户信息,并对用户进行统一管理;在权限管理方面,为各种大数据组件建立统一的用户管理模型,通过向各个大数据组件插入插件,实现组件的权限控制。
本发明具有设计合理、结构简单、使用方便、一物多用等特点,因而,具有很好的推广使用价值。
附图说明
下面结合附图对本发明进一步说明。
附图1为基于大数据平台的统一用户认证授权系统的结构框图。
具体实施方式
参照说明书附图和具体实施例对本发明的基于大数据平台的统一用户认证授权的实现方法及系统作以下详细地说明。
实施例1:
本发明的基于大数据平台的统一用户认证授权的实现方法及系统, 该方法包括如下步骤:
(1)、统一用户管理:为整个大数据平台建立统一的用户管理中心,用以存储用户名、密码、用户信息以及所在组的信息;同时用户管理中心底层依赖票据管理服务,通过调用依赖票据管理服务的相关接口为每个用户创建对应票据;
(2)、票据管理、统一存储及安全传输:用户管理中心创建用户后调用票据管理服务,建立相关的用户票据,并为用户分配适当的票据管理权限;同时为每个用户生成票据文件并存储在票据管理中心,票据管理中心负责票据文件的统一存储、分发及安全传输;
(3)、分布式用户管理与组映射:在大数据平台上,任务执行用户采用分布式管理,任务执行用户最终需要映射到主机对应用户及组上,在各个主机上部署用户管理agent,用以统一用户的创建、删除、组映射及管理的工作;各个主机上的用户管理agent以心跳的形式向用户管理中心报告本机用户信息,用户管理中心核实用户信息,并向各个agent反馈对应操作;
(4)、统一权限管理:在大数据平台中,各个大数据组件都有自己的权限管理模式及方法,用户管理中心为各种管理模式建立适当的抽象,并为各种大数据组件建立统一的权限管理模型;通过向各个大数据组件中插入插件的模式,实现权限的统一管理;大数据组件权限管理插件定期向用户中心发出请求,获取用户的最新权限,并在本地进行缓存;当用户调用相关大数据组件的服务时,首先核对用户信息与本地权限缓存,并根据权限规则作出相关处理。
实施例2:
如附图1所示,本发明的基于大数据平台的统一用户认证授权系统,该系统包括用户管理中心、票据管理中心和主机,用户管理中心连接票据管理中心,票据管理中心连接主机;其中,用户管理中心负责存储用户名、密码、用户信息以及所在组的信息;票据管理中心用于负责票据文件的统一存储、分发及安全传输;主机用于通过用户消息队列向用户管理中心传输用户信息,用户管理中心根据用户信息管理主机的权限。主机内部署用户管理agent,用于同一用户的创建、删除、组映射以及管理的工作。主机内部部署大数据组件,大数据组件中插入插件,通过插件实现用户权限的统一管理。
该系统的工作步骤如下:
(1)、用户管理中心创建并分发票据到票据管理中心;
(2)、票据管理中心通过局域SSL协议推送票据文件到主机的大数据组件;
(3)、主机推送用户及组信息到用户消息队列;
(4)、用户管理中心获取用户消息队列中用户及组信息,并根据用户及组信息管理权限管理消息队列;
(5)、主机从权限管理消息队列中获取权限信息。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的两种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。

Claims (2)

1.一种基于大数据平台的统一用户认证授权的实现方法,其特征在于该方法包括如下步骤:
(1)、统一用户管理:为整个大数据平台建立统一的用户管理中心,用以存储用户名、密码、用户信息以及所在组的信息;同时用户管理中心底层依赖票据管理服务,通过调用依赖票据管理服务的相关接口为每个用户创建对应票据;
(2)、票据管理、统一存储及安全传输:用户管理中心创建用户后调用票据管理服务,建立相关的用户票据,并为用户分配适当的票据管理权限;同时为每个用户生成票据文件并存储在票据管理中心,票据管理中心负责票据文件的统一存储、分发及安全传输;
(3)、分布式用户管理与组映射:在大数据平台上,任务执行用户采用分布式管理,任务执行用户最终需要映射到主机对应用户及组上,在各个主机上部署用户管理agent,用以统一用户的创建、删除、组映射及管理的工作;各个主机上的用户管理agent以心跳的形式向用户管理中心报告本机用户信息,用户管理中心核实用户信息,并向各个agent反馈对应操作;
(4)、统一权限管理:在大数据平台中,各个大数据组件都有自己的权限管理模式及方法,用户管理中心为各种管理模式建立适当的抽象,并为各种大数据组件建立统一的权限管理模型;通过向各个大数据组件中插入插件的模式,实现权限的统一管理;大数据组件权限管理插件定期向用户中心发出请求,获取用户的最新权限,并在本地进行缓存;当用户调用相关大数据组件的服务时,首先核对用户信息与本地权限缓存,并根据权限规则作出相关处理。
2.一种基于大数据平台的统一用户认证授权系统,其特征在于该系统包括用户管理中心、票据管理中心和主机,用户管理中心连接票据管理中心,票据管理中心连接主机;
其中,用户管理中心负责存储用户名、密码、用户信息以及所在组的信息;
票据管理中心用于负责票据文件的统一存储、分发及安全传输;
主机用于通过用户消息队列向用户管理中心传输用户信息,用户管理中心根据用户信息管理主机的权限;主机内部署用户管理agent,用于同一用户的创建、删除、组映射以及管理的工作;主机内部部署大数据组件,大数据组件中插入插件,通过插件实现用户权限的统一管理。
CN201610706007.4A 2016-08-23 2016-08-23 一种基于大数据平台的统一用户认证授权的实现方法及系统 Active CN106301791B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610706007.4A CN106301791B (zh) 2016-08-23 2016-08-23 一种基于大数据平台的统一用户认证授权的实现方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610706007.4A CN106301791B (zh) 2016-08-23 2016-08-23 一种基于大数据平台的统一用户认证授权的实现方法及系统

Publications (2)

Publication Number Publication Date
CN106301791A CN106301791A (zh) 2017-01-04
CN106301791B true CN106301791B (zh) 2019-09-27

Family

ID=57615474

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610706007.4A Active CN106301791B (zh) 2016-08-23 2016-08-23 一种基于大数据平台的统一用户认证授权的实现方法及系统

Country Status (1)

Country Link
CN (1) CN106301791B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108965206A (zh) * 2017-05-18 2018-12-07 镇江杜微人才咨询有限公司 一种互联网系统中重要数据的保护方法
CN107194239A (zh) * 2017-05-24 2017-09-22 郑州云海信息技术有限公司 一种权限管理方法及装置
CN110084048B (zh) * 2019-03-22 2021-01-12 福建省农村信用社联合社 一种银行统一用户管理的实现方法
CN112597256A (zh) * 2020-12-17 2021-04-02 北京思特奇信息技术股份有限公司 一种实现大数据平台用户统一管理的方法及相关装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1622519A (zh) * 2003-11-29 2005-06-01 鸿富锦精密工业(深圳)有限公司 信息同步管理系统及方法
CN105100050A (zh) * 2015-05-28 2015-11-25 交通银行股份有限公司 用户权限管理方法及系统
CN105656903A (zh) * 2016-01-15 2016-06-08 国家计算机网络与信息安全管理中心 一种Hive平台的用户安全管理系统及应用

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9569761B2 (en) * 2013-09-20 2017-02-14 Boku, Inc. Text-to-pay for a new subscription

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1622519A (zh) * 2003-11-29 2005-06-01 鸿富锦精密工业(深圳)有限公司 信息同步管理系统及方法
CN105100050A (zh) * 2015-05-28 2015-11-25 交通银行股份有限公司 用户权限管理方法及系统
CN105656903A (zh) * 2016-01-15 2016-06-08 国家计算机网络与信息安全管理中心 一种Hive平台的用户安全管理系统及应用

Also Published As

Publication number Publication date
CN106301791A (zh) 2017-01-04

Similar Documents

Publication Publication Date Title
CN109522735B (zh) 一种基于智能合约的数据权限验证方法及装置
CN105247529B (zh) 在目录服务之间同步凭证散列
CN105027493B (zh) 安全移动应用连接总线
CN104054321B (zh) 针对云服务的安全管理
EP2710506B1 (en) Method for handling privacy data
CN109729168A (zh) 一种基于区块链的数据共享交换系统及方法
CN103563294B (zh) 用于云计算平台安全性的认证和授权方法
CN107483491A (zh) 一种云环境下分布式存储的访问控制方法
CN106301791B (zh) 一种基于大数据平台的统一用户认证授权的实现方法及系统
CN107241360A (zh) 一种数据安全共享交换方法和数据安全共享交换平台系统
CN107181720A (zh) 一种软件定义网路sdn安全通信的方法及装置
CN109525570A (zh) 一种面向集团客户的数据分层安全访问控制方法
CN102722576A (zh) 一种云计算环境下数据库加密保护系统和加密保护方法
de Chaves et al. Customer security concerns in cloud computing
CN106326766A (zh) 一种HBase数据读取控制方法
Al-Aqrabi et al. Dynamic multiparty authentication of data analytics services within cloud environments
CN112818332A (zh) 一种面向智能制造的密码管理服务平台
CN113011974A (zh) 基于区块链的交易信息存证方法及系统
CN113127927B (zh) 一种许可链数据共享及监管的属性重构加密方法及系统
CN109903046A (zh) 基于区块链的用户数据管理方法及装置
CN101527637A (zh) 一种虚拟专有组织平台系统及方法
Liu et al. The application of block chain technology in spot exchange
CN116633576A (zh) 安全可信NC-Link代理器、控制方法、设备及终端
CN114466038B (zh) 一种电力物联网的通信防护系统
CN114124392B (zh) 支持访问控制的数据可控流通方法、系统、设备和介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20200522

Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Patentee after: Tidal Cloud Information Technology Co.,Ltd.

Address before: 250101 Ji'nan high tech Zone, Shandong, No. 1036 wave road

Patentee before: INSPUR ELECTRONIC INFORMATION INDUSTRY Co.,Ltd.

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Patentee after: Inspur cloud Information Technology Co., Ltd

Address before: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Patentee before: Tidal Cloud Information Technology Co.,Ltd.