CN109245880B - 一种基于对hadoop组件安全加固方法 - Google Patents
一种基于对hadoop组件安全加固方法 Download PDFInfo
- Publication number
- CN109245880B CN109245880B CN201811040882.9A CN201811040882A CN109245880B CN 109245880 B CN109245880 B CN 109245880B CN 201811040882 A CN201811040882 A CN 201811040882A CN 109245880 B CN109245880 B CN 109245880B
- Authority
- CN
- China
- Prior art keywords
- data
- user
- hadoop
- kerberos
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于对hadoop组件安全加固方法。Kerberos服务器作为用户外部的存储库,将Kerberos作为验证协议对用户进行密码验证,成功通过Kerberos验证的用户许可票据,对使用用户进行等级划分,验证票据有效时可使用Hadoop中的服务,根据数据的敏感性将Kerberos中的上传数据分为多个数据块,对步骤二中不同等级的用户实行分块访问权限,数据块进行数据加密和隐藏,确保授权用户对敏感数据的安全访问,对未授权的网络进行数据进出的控制,通过网络拓扑使得大数据系统与其他企业信息系统相隔离。本发明Hadoop引入了对Kerberos的支持,提高了用户访问的安全性,通过对数据和用户的等级加密划分,保障了对各方面数据访问的限制,从而提高了安全性能。
Description
技术领域
本发明属于大数据领域,具体涉及一种基于对hadoop组件安全加固方法。
背景技术
Hadoop由多个组件组成,因此Hadoop集群的安全表示确保每个组件的安全,这就使得Hadoop集群安全变成了一项复杂的任务。
Hadoop的初始设计是运行在信任的环境下,它假设所有的集群用户都是可信任的,他们能够正确地表明自己的身份并且不会尝试获取更多的权限。由此实现了简单的安全模式,它是Hadoop中默认的验证系统。在简单安全模式下,Hadoop信任操作系统所提供的用户身份和大部分关系数据库不同,Hadoop并没有任何集中用户和权限存储机制。在Hadoop中不存在通过用户名和密码来对用户进行验证的概念。Hadoop接受并信任操作系统所提供的用户名并且对此不会采取过多的检查。该模型的隐患在于假冒用户的可能性。例如恶意用户可以使用自定义的分布式文件系统客户端,而不是使用Java调用来表明当前操作系统用户身份来假冒root用户,由此获得访问所有数据的权限。在某些情况下,简单安全模型能够满足我们的要求,尤其是在集群运行在信任环境并且只有少数用户能够访问系统的前提下。对于大部分公司来说这种简易的用户验证方式并不能满足它们的要求。
发明内容
本发明的目的在于提供一种基于对hadoop组件安全加固方法,引入了对Kerberos的支持,提高了用户访问的安全性,通过对数据和用户的等级加密划分,保障了对各方面数据访问的限制,从而提高了安全性能。
为实现上述目的,本发明的技术方案是:一种基于对hadoop组件安全加固方法,包括如下步骤:
步骤S1、Kerberos服务器作为用户外部的存储库,将Kerberos作为验证协议对用户进行密码验证;
步骤S2、对步骤S1中成功通过Kerberos验证的用户许可票据,对使用用户进行等级划分,验证票据有效时可使用Hadoop中的服务;
步骤S3、设置用户管理模块,根据数据的敏感性将Kerberos中的上传数据分为多个数据块,对步骤S2中不同等级的用户实行分块访问权限;
步骤S4、对步骤S3中的部分数据块进行数据加密和隐藏,确保授权用户对敏感数据的安全访问;
步骤S5、对未授权的网络进行数据进出的控制,通过网络拓扑使得大数据系统与其他企业信息系统相隔离:
步骤S6、设置报表管理模块,记录用户登录信息,对步骤S2中异常访问用户生成反馈报告。
在本发明一实施例中,步骤S1中Kerberos验证协议通过Hash函数生成所需要的密钥,属性中可以包含用户密码信息。
在本发明一实施例中,步骤S4每个数据块加密均使用不同密钥,即使密文泄漏或者破译对其他数据块均无影响。
在本发明一实施例中,步骤S5通过防火墙对未授权的网络禁止访问。
在本发明一实施例中,步骤S3中的用户管理模块设置有权限管理,实现用户信息的增、删、改,以及密码的修改,同时实现管理员、操作员、审计员三种不同的角色,分配给不同使用需要的用户,合理管理系统的使用权限,防止系统的滥用和误用以及只有审计员可登录,实现显示许可的详细信息,包括许可类型、授权信息,以及许可的使用期限和维保期限,用户可根据需要来更新许可。
在本发明一实施例中,步骤S6中的报表管理模块设置有历史报表单元和异常报表单元,便于翻看历史记录和反馈异常登录同时支持以word形式导出报表,并且实现对虚拟化检测结果自动生成报表,其中报表内容包括漏洞数量、漏洞详情和漏洞类型修复建议的信息并且支持以word形式导出报表。
在本发明一实施例中,步骤S4中数据的加密是指在Kerberos验证协议之上的一个SASL包装器确保数据安全;可以设置hdfs-site.xml中dfs.encrypt.data.transfer为ture来使SASL包装器生效;SASL包装器生效后,NameNode生成一个数据加密密钥,被Hadoop客户端作为MD5-DIGEST认证机制的凭证;因为DataNode和NameNode共享相同密钥,可用于检验请求。
相较于现有技术,本发明具有以下有益效果:本发明通过对Hadoop引入对Kerberos的支持,提高了用户访问的安全性,通过对数据和用户的等级加密划分,保障了对各方面数据访问的限制,从而提高了安全性能。
具体实施方式
下面,对本发明的技术方案进行具体说明。
本发明提供了一种基于对hadoop组件安全加固方法,包括如下步骤:
步骤S1、Kerberos服务器作为用户外部的存储库,将Kerberos作为验证协议对用户进行密码验证;
步骤S2、对步骤S1中成功通过Kerberos验证的用户许可票据,对使用用户进行等级划分,验证票据有效时可使用Hadoop中的服务;
步骤S3、设置用户管理模块,根据数据的敏感性将Kerberos中的上传数据分为多个数据块,对步骤S2中不同等级的用户实行分块访问权限;
步骤S4、对步骤S3中的部分数据块进行数据加密和隐藏,确保授权用户对敏感数据的安全访问;
步骤S5、对未授权的网络进行数据进出的控制,通过网络拓扑使得大数据系统与其他企业信息系统相隔离:
步骤S6、设置报表管理模块,记录用户登录信息,对步骤S2中异常访问用户生成反馈报告。
步骤S1中Kerberos验证协议通过Hash函数生成所需要的密钥,属性中可以包含用户密码信息。
步骤S4每个数据块加密均使用不同密钥,即使密文泄漏或者破译对其他数据块均无影响。
步骤S5通过防火墙对未授权的网络禁止访问。
步骤S3中的用户管理模块设置有权限管理,实现用户信息的增、删、改,以及密码的修改,同时实现管理员、操作员、审计员三种不同的角色,分配给不同使用需要的用户,合理管理系统的使用权限,防止系统的滥用和误用以及只有审计员可登录,实现显示许可的详细信息,包括许可类型、授权信息,以及许可的使用期限和维保期限,用户可根据需要来更新许可。
步骤S6中的报表管理模块设置有历史报表单元和异常报表单元,便于翻看历史记录和反馈异常登录同时支持以word形式导出报表,并且实现对虚拟化检测结果自动生成报表,其中报表内容包括漏洞数量、漏洞详情和漏洞类型修复建议的信息并且支持以word形式导出报表。
步骤S4中数据的加密是指在Kerberos验证协议之上的一个SASL包装器确保数据安全;可以设置hdfs-site.xml中dfs.encrypt.data.transfer为ture来使SASL包装器生效;SASL包装器生效后,NameNode生成一个数据加密密钥,被Hadoop客户端作为MD5-DIGEST认证机制的凭证;因为DataNode和NameNode共享相同密钥,可用于检验请求。
以下为本发明的具体实现实例。
一种基于对Hadoop组件的安全加固方法,按照下述步骤依次进行:
步骤一:Kerberos服务器作为用户外部的存储库,将Kerberos作为验证协议对用户进行密码验证;
步骤二:对步骤一中成功通过Kerberos验证的用户许可票据,对使用用户进行等级划分,验证票据有效时可使用Hadoop中的服务;
步骤三:设置用户管理模块,根据数据的敏感性将Kerberos中的上传数据分为多个数据块,对步骤二中不同等级的用户实行分块访问权限;
步骤四:对步骤三中的部分数据块进行数据加密和隐藏,确保授权用户对敏感数据的安全访问;
步骤五:对未授权的网络进行数据进出的控制,通过网络拓扑使得大数据系统与其他企业信息系统相隔离:
步骤六:设置报表管理模块,记录用户登录信息,对步骤二中异常访问用户生成反馈报告。
优选的,步骤一中所述Kerberos验证协议通过Hash函数生成所需要的密钥,属性中可以包含用户密码信息。
优选的,步骤四每个所述数据块加密均使用不同密钥,计时密文泄漏或者破译对其他数据块均无影响。
优选的,步骤五通过防火墙对未授权的网络禁止访问。
优选的,步骤三中的用户管理模块设置有权限管理,实现用户信息的增、删、改,以及密码的修改,同时实现管理员、操作员、审计员三种不同的角色,分配给不同使用需要的用户,合理管理系统的使用权限,防止系统的滥用和误用以及只有审计员可登录,实现显示许可的详细信息,包括许可类型、授权信息,以及许可的使用期限和维保期限,用户可根据需要来更新许可。
优选的,步骤六中的报表管理模块设置有历史报表单元和异常报表单元,便于翻看历史记录和反馈异常登录同时支持以word形式导出报表,并且实现对虚拟化检测结果自动生成报表,其中报表内容包含漏洞,漏洞数量、漏洞详情和漏洞类型修复建议等信息并且支持以word形式导出报表。
优选的,步骤四中加密是指在该协议之上的一个SASL包装器确保数据安全。可以设置hdfs-site.xml中dfs.encrypt.data.transfer为ture来使SASL包装器生效。SASL包装器生效后,NameNode生成一个数据加密密钥,被Hadoop客户端作为MD5-DIGEST认证机制的凭证。因为DataNode和NameNode共享相同密钥,该密钥可以用于检验请求验证
最后所应说明的是:以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应该理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。
Claims (7)
1.一种基于对hadoop组件安全加固方法,其特征在于,包括如下步骤:
步骤S1、Kerberos服务器作为用户外部的存储库,将Kerberos作为验证协议对用户进行密码验证;
步骤S2、对步骤S1中成功通过Kerberos验证的用户许可票据,对使用用户进行等级划分,验证票据有效时使用Hadoop中的服务;
步骤S3、设置用户管理模块,根据数据的敏感性将Kerberos中的上传数据分为多个数据块,对步骤S2中不同等级的用户实行分块访问权限;
步骤S4、对步骤S3中的部分数据块进行数据加密和隐藏,确保授权用户对敏感数据的安全访问;
步骤S5、对未授权的网络进行数据进出的控制,通过网络拓扑使得大数据系统与其他企业信息系统相隔离:
步骤S6、设置报表管理模块,记录用户登录信息,对步骤S3中异常访问用户生成反馈报告。
2.根据权利要求1所述的一种基于对hadoop组件安全加固方法,其特征在于,步骤S1中Kerberos验证协议通过Hash函数生成所需要的密钥,属性中包含用户密码信息。
3.根据权利要求1所述的一种基于对hadoop组件安全加固方法,其特征在于,步骤S4每个数据块加密均使用不同密钥,即使密文泄漏或者破译对其他数据块均无影响。
4.根据权利要求1所述的一种基于对hadoop组件安全加固方法,其特征在于,步骤S5通过防火墙对未授权的网络禁止访问。
5.根据权利要求1所述的一种基于对hadoop组件安全加固方法,其特征在于,步骤S3中的用户管理模块设置有权限管理,实现用户信息的增、删、改,以及密码的修改,同时实现管理员、操作员、审计员三种不同的角色,分配给不同使用需要的用户,合理管理系统的使用权限,防止系统的滥用和误用以及只有审计员可登录,实现显示许可的详细信息,包括许可类型、授权信息,以及许可的使用期限和维保期限,用户根据需要来更新许可。
6.根据权利要求1所述的一种基于对hadoop组件安全加固方法,其特征在于,步骤S6中的报表管理模块设置有历史报表单元和异常报表单元,便于翻看历史记录和反馈异常登录同时支持以word形式导出报表,并且实现对虚拟化检测结果自动生成报表,其中报表内容包括漏洞数量、漏洞详情和漏洞类型修复建议的信息并且支持以word形式导出报表。
7.根据权利要求1所述的一种基于对hadoop组件安全加固方法,其特征在于,步骤S4中数据的加密是指在Kerberos验证协议之上的一个SASL包装器确保数据安全;设置hdfs-site.xml中dfs.encrypt.data.transfer为ture来使SASL包装器生效;SASL包装器生效后,NameNode生成一个数据加密密钥,被Hadoop客户端作为MD5-DIGEST认证机制的凭证;因为DataNode和NameNode共享相同密钥,可用于检验请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811040882.9A CN109245880B (zh) | 2018-09-07 | 2018-09-07 | 一种基于对hadoop组件安全加固方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811040882.9A CN109245880B (zh) | 2018-09-07 | 2018-09-07 | 一种基于对hadoop组件安全加固方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109245880A CN109245880A (zh) | 2019-01-18 |
| CN109245880B true CN109245880B (zh) | 2021-06-22 |
Family
ID=65060814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811040882.9A Active CN109245880B (zh) | 2018-09-07 | 2018-09-07 | 一种基于对hadoop组件安全加固方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109245880B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981600B (zh) * | 2019-03-06 | 2021-08-17 | 山东信天辰信息安全技术有限公司 | 一种网站加固的安全性评估系统 |
| CN115987579B (zh) * | 2022-12-07 | 2023-09-15 | 南京鼎山信息科技有限公司 | 基于大数据和物联网通信的数据处理方法和数据处理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104504014A (zh) * | 2014-12-10 | 2015-04-08 | 无锡城市云计算中心有限公司 | 基于大数据平台的数据处理方法和装置 |
| CN104935590A (zh) * | 2015-06-10 | 2015-09-23 | 南京航空航天大学 | 一种基于角色和用户信任值的hdfs访问控制方法 |
| CN107257334A (zh) * | 2017-06-08 | 2017-10-17 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
| CN108337225A (zh) * | 2017-12-16 | 2018-07-27 | 国网信通亿力科技有限责任公司 | 一种hadoop平台安全接口的实现方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10298555B2 (en) * | 2014-04-04 | 2019-05-21 | Zettaset, Inc. | Securing files under the semi-trusted user threat model using per-file key encryption |
| US11106625B2 (en) * | 2015-11-30 | 2021-08-31 | International Business Machines Corporation | Enabling a Hadoop file system with POSIX compliance |
-
2018
- 2018-09-07 CN CN201811040882.9A patent/CN109245880B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104504014A (zh) * | 2014-12-10 | 2015-04-08 | 无锡城市云计算中心有限公司 | 基于大数据平台的数据处理方法和装置 |
| CN104935590A (zh) * | 2015-06-10 | 2015-09-23 | 南京航空航天大学 | 一种基于角色和用户信任值的hdfs访问控制方法 |
| CN107257334A (zh) * | 2017-06-08 | 2017-10-17 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
| CN108337225A (zh) * | 2017-12-16 | 2018-07-27 | 国网信通亿力科技有限责任公司 | 一种hadoop平台安全接口的实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| Data Security in Hadoop Distributed File System;Madhvaraj M Shetty;《2016 International Conference on Emerging Technological Trends (ICETT)》;20170309;全文 * |
| Hadoop安全机制研究;缪璐瑶;《中国优秀硕士学位论文全文数据库》;20160531;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109245880A (zh) | 2019-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10341306B2 (en) | Systems and methods for application identification | |
| US20140109179A1 (en) | Multiple server access management | |
| CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
| US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
| US20140281539A1 (en) | Secure Mobile Framework With Operating System Integrity Checking | |
| US20140123207A1 (en) | Keystore access control system | |
| US11210387B2 (en) | Detecting and preventing unauthorized credential change | |
| KR20130085472A (ko) | 클라우드 컴퓨팅 서비스에서의 보안 시스템 | |
| CN103310161A (zh) | 一种用于数据库系统的防护方法及系统 | |
| US20090288149A1 (en) | System and method for pool-based identity authentication for service access without use of stored credentials | |
| WO2015187716A1 (en) | Secure mobile framework with operating system integrity checking | |
| CN109936555A (zh) | 一种基于云平台的数据存储方法、装置及系统 | |
| CN109245880B (zh) | 一种基于对hadoop组件安全加固方法 | |
| CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
| CN112347451A (zh) | 一种基于区块链技术的mes数据管理追踪方法及系统 | |
| CN114866346B (zh) | 一种基于分散式的密码服务平台 | |
| CN111399980A (zh) | 容器编排器的安全认证方法、装置及系统 | |
| CN110474916A (zh) | 面向Web应用提供特权账号的方法及装置 | |
| CN117692219A (zh) | 一种基于动态评估机制的访问控制方法 | |
| Revathy et al. | Analysis of big data security practices | |
| CN112769784A (zh) | 文本的处理方法和装置、计算机可读存储介质及处理器 | |
| US20150215318A1 (en) | Case management system | |
| Basu et al. | Strengthening Authentication within OpenStack Cloud Computing System through Federation with ADDS System | |
| Bin et al. | Research of fine grit access control based on time in cloud computing | |
| CN114978771B (zh) | 一种基于区块链技术的数据安全共享方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: He Jindong Inventor after: Lin Chenghua Inventor after: Guo Jingdong Inventor after: Zheng Zhou Inventor after: Tang Zhijun Inventor after: Wu Dan Inventor after: Luo Fucai Inventor after: Zhao Zhichao Inventor after: Xie Xinzhi Inventor after: Wu Lijin Inventor before: He Jindong Inventor before: Tang Zhijun Inventor before: Wu Dan Inventor before: Luo Fucai Inventor before: Zhao Zhichao Inventor before: Xie Xinzhi Inventor before: Wu Lijin Inventor before: Lin Chenghua |
|
| CB03 | Change of inventor or designer information |