CN110740122A - 一种提高数据仓库安全性的方法、装置 - Google Patents

一种提高数据仓库安全性的方法、装置 Download PDF

Info

Publication number
CN110740122A
CN110740122A CN201910857319.9A CN201910857319A CN110740122A CN 110740122 A CN110740122 A CN 110740122A CN 201910857319 A CN201910857319 A CN 201910857319A CN 110740122 A CN110740122 A CN 110740122A
Authority
CN
China
Prior art keywords
client
data warehouse
authorization
node
authorization certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910857319.9A
Other languages
English (en)
Other versions
CN110740122B (zh
Inventor
黄赛金
鲁威
孙迁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SuningCom Co ltd
Original Assignee
Suning Cloud Computing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suning Cloud Computing Co Ltd filed Critical Suning Cloud Computing Co Ltd
Priority to CN201910857319.9A priority Critical patent/CN110740122B/zh
Publication of CN110740122A publication Critical patent/CN110740122A/zh
Application granted granted Critical
Publication of CN110740122B publication Critical patent/CN110740122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/283Multi-dimensional databases or data warehouses, e.g. MOLAP or ROLAP
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例公开一种提高数据仓库安全性的方法、装置,方法包括:进程守护系统对客户端预先获得的授权凭证进行有效性校验,当有效性校验通过时,客户端向验证服务端发送针对znode节点的访问请求及授权凭证;验证服务端接收znode节点的访问请求和授权凭证后,对授权凭证进行解析、验证,并将验证结果发送至客户端;当验证结果为允许访问znode节点时,客户端通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。本申请可以实现未开启kerberos情况下,第三方应用用户或客户端使用hive的高可用hiveserver2集群做抽取、转置、加载(ETL)时,zookeeper上znode节点不会被第三方应用用户或客户端误删、修改,保持数据仓库服务的高可用性。

Description

一种提高数据仓库安全性的方法、装置
技术领域
本发明属于数据仓库领域,尤其涉及一种提高数据仓库安全性的方法、装置。
背景技术
现有的数据仓库经常会使用hive(一种基于hadoop的数据仓库)作为抽取、转置、加载(ETL)的工具,为了保证hive服务的高可用,在hive服务端(hiveserver2)部署zookeeper服务,zookeeper通过创建znode节点来存放hiveserver2节点信息从而实现hiveserver2的高可用。为了防止单点故障,用户必须通过第三方客户端(如:JDBC,BEELINE,oozie,hbase)连接高可用的hiveserver2集群,禁止用户直连单个hiveserver2节点。
但是这种基于zookeeper实现的hive高可用系统存在如下缺点:
1、在非kerberos安全模式下,hive在zookeeper上创建的节点/hiveserver2的访问控制列表(ACL)为world,anyone:cdrwa。这表示任一登上zookeeper节点的用户都对hive的znode节点有增、删、改、查、管理权限,可能导致数据仓库服务不可用,大大降低了hive的可用性。
2、任意客户端如hbase或者oozie客户端及任意第三方用户通过jdbc方式连接高可用hiveserver2集群时,可直接访问hiveserver2高可用节点,有可能导致数据数据泄漏。
发明内容
为了解决现有技术的问题,本发明提出了一种提高数据仓库安全性的方法、装置,本方法可以实现未开启kerberos情况下,第三方应用用户或客户端使用hive的高可用hiveserver2集群做抽取、转置、加载(ETL)时,zookeeper上znode节点不会被第三方应用用户或客户端误删、修改,保持数据仓库服务的高可用性。
本发明实施例提供的具体技术方案如下:
第一方面,本发明提供一种提高数据仓库安全性的方法,所述方法包括:
进程守护系统对客户端预先获得的授权凭证进行有效性校验,当有效性校验通过时,客户端向验证服务端发送针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述验证服务端接收所述znode节点的访问请求和所述授权凭证后,对所述授权凭证进行解析、验证,并将验证结果发送至所述客户端;
当验证结果为允许访问所述znode节点时,所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,所述方法还包括:
认证系统接收用户通过所述客户端发送的针对待访问的znode节点的权限定制请求,根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端。
优选的,所述根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端具体包括:
所述认证系统对所述用户进行资格审核;
当审核通过时,根据所述待访问的znode节点的权限定制请求,生成与所述用户相匹配的授权凭证并发送至所述进程守护系统;
所述进程守护系统将所述授权凭证下发至对应的客户端。
优选的,所述方法还包括:
当所述进程守护系统对客户端预先获得的授权凭证有效性校验不通过时,所述进程守护系统向所述认证系统请求重新发送所述授权凭证。
优选的,所述进程守护系统对客户端预先获得的授权凭证进行有效性校验具体包括:
所述进程守护系统获取所述授权凭证的有效时间期限及系统时间;
判断所述系统时间是否位于所述有效时间期限内,得到判断结果。
优选的,所述对所述授权凭证进行解析、验证具体包括:
所述验证服务端对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
优选的,所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库具体包括:
所述客户端通过所述znode节点,获取得到数据仓库的服务端节点;
通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
第二方面,本发明还提供一种提高数据仓库安全性的方法,所述方法包括:
当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
接收由所述验证服务端发送的对所述授权凭证进行解析、验证后得到的验证结果;
当验证结果为允许访问所述znode节点时,通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,所述方法还包括:
向认证系统发送针对待访问的znode节点的权限定制请求;
接收由所述认证系统返回的根据所述待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证。
优选的,所述接收由所述认证系统返回的根据所述待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证具体包括:
接收由所述认证系统对所述用户资格审核通过时,根据所述待访问的znode节点的权限定制请求,生成并发送至所述进程守护系统,并由所述进程守护系统下发的与所述用户相匹配的授权凭证。
优选的,所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库具体包括:
通过所述znode节点,获取得到数据仓库的服务端节点;
通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
第三方面,本发明提供一种提高数据仓库安全性的方法,所述方法包括:
接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由所述客户端发送的针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
对所述授权凭证进行解析、验证,并将验证结果发送至所述客户端;
当验证结果为允许访问所述znode节点时,与所述客户端连接以使所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而便于所述客户端访问数据仓库。
优选的,所述对所述授权凭证进行解析、验证具体包括:
对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
第四方面,本发明提供一种提高数据仓库安全性的装置,所述装置包括:进程守护系统、客户端、验证服务端、数据仓库服务端;
所述进程守护系统用于对客户端预先获得的授权凭证进行有效性校验;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述客户端用于当所述进程守护系统对所述客户端预先获得的授权凭证有效性校验通过时,向所述验证服务端发送针对znode节点的访问请求及所述授权凭证;
所述验证服务端用于接收所述znode节点的访问请求和所述授权凭证,并对所述授权凭证进行解析、验证,将验证结果发送至所述客户端;
所述客户端还用于接收所述验证服务端发送的所述验证结果,当所述验证结果为允许访问所述znode节点时,通过所述znode节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,所述装置还包括:认证系统;
所述认证系统用于接收用户通过所述客户端发送的针对待访问的znode节点的权限定制请求,根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端;
优选的,所述认证系统具体包括:
管理模块,用于对所述用户进行资格审核;
权限定制模块,用于当审核通过时,根据所述待访问的znode节点的权限定制请求,生成与所述用户相匹配的授权凭证;
所述管理模块还用于将所述授权凭证发送至所述进程守护系统;
所述进程守护系统还用于将所述授权凭证下发至对应的客户端。
优选的,所述进程守护系统还用于当所述进程守护系统对客户端预先获得的授权凭证有效性校验不通过时,向所述认证系统请求重新发送所述授权凭证。
优选的,所述进程守护系统包括:
获取模块,用于获取所述授权凭证的有效时间期限及系统时间;
判断模块,用于判断所述系统时间是否位于所述有效时间期限内,得到判断结果。
优选的,所述验证服务端包括:
解析模块,用于对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
优选的,所述客户端具体用于通过所述znode节点,获取得到数据仓库的服务端节点;
通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
第五方面,本发明提供一种客户端,所述客户端包括:发送模块、接收模块、连接模块;
所述发送模块用于当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述接收模块用于接收由所述验证服务端发送的对所述授权凭证进行解析、验证后得到的验证结果;
所述连接模块用于当验证结果为允许访问所述znode节点时,通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,所述发送模块还用于向认证系统发送针对待访问的znode节点的权限定制请求;
所述接受模块还用于接收由所述认证系统返回的根据所述待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证。
优选的,所述接受模块具体用于接收由所述认证系统对所述用户资格审核通过时,根据所述待访问的znode节点的权限定制请求,生成并发送至所述进程守护系统,并由所述进程守护系统下发的与所述用户相匹配的授权凭证。
优选的,所述客户端还包括:
获取模块,用于通过所述znode节点,获取得到数据仓库的服务端节点;
所述连接模块具体用于通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
第六方面,本发明提供一种服务端,所述服务端包括:发送模块、接收模块、解析模块、连接模块;
所述接收模块用于接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由所述客户端发送的针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述解析模块用于对所述授权凭证进行解析、验证;
所述发送模块用于将验证结果发送至所述客户端;
所述连接模块用于当验证结果为允许访问所述znode节点时,与所述客户端连接以使所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而便于所述客户端访问数据仓库。
优选的,所述解析模块具体用于对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
本发明实施例具有如下有益效果:
1、本发明为用户设计了授权凭证,通过对授权凭证的有效性校验及解析验证,得到用户的使用权限,避免出现znode节点被误删、修改及误写等导致数据仓库服务不可用的情况发生,提高了数据仓库的高可用性和安全性;
2、本发明实现了针对不同用户的权限定制化,可从多个维度定制用户需求的权限,满足不同层级用户的权限要求;
3、本发明为授权凭证设计了有效期,可以防止授权凭证被盗用导致数据泄漏。
当然,本发明并不一定需要同时满足上述所有效果,只需满足其一即可。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例一提供的一种提高数据仓库安全性的方法的流程图;
图2是本申请实施例一提供的认证系统、进程守护系统和客户端的交互过程图;
图3是本申请实施例二提供的一种提高数据仓库安全性的方法的流程图;
图4是本申请实施例三提供的一种提高数据仓库安全性的方法的流程图;
图5是本申请实施例四提供的一种提高数据仓库安全性的装置的结构图;
图6是本申请实施例五提供的一种客户端结构图;
图7是本申请实施例六提供的一种服务端结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有的数据仓库经常会使用hive作为抽取、转置、加载(ETL)的工具,用户在使用hive时,通过连接hive的hiveserver2集群来实现数据仓库的高可用。但是此连接方式存在弊端:1、在非kerberos安全模式下,任一用户都可以对hive的znode节点进行增、删、改、查、管理,可能导致数据仓库服务不可用;2、任一用户可直接访问hiveserver2节点,导致数据泄露。
本申请为了解决上述问题,为每一个访问的用户设计了授权凭证,在连接数据仓库之前,通过对授权凭证的有效性校验和解析验证,对不同用户的访问权限进行核实,提高了数据仓库服务的可用性及安全性。
实施例一
如图1所示,本申请提供了一种提高数据仓库安全性的方法,具体包括如下步骤:
S12、进程守护系统对客户端预先获得的授权凭证进行有效性校验,当有效性校验通过时,客户端向验证服务端发送针对znode节点的访问请求及授权凭证。
其中,客户端可以为hbase客户端或者oozie客户端,或者采用jdbc、odbc、beeline等方式连接服务端的客户端;进程守护系统可安装在客户端的操作系统中,其独立运行不受客户端控制且一个客户端对应一个进程守护系统;验证服务端为zookeeper服务端,zookeeper通过创建znode节点来存放数据仓库的服务端节点信息以实现数据仓库的高可用,需要说明的是,本方案中的所提到的数据仓库为Hive。
具体的,授权凭证的获取过程包括:
认证系统接收用户通过客户端发送的针对待访问的znode节点的权限定制请求,根据待访问的znode节点的权限定制请求生成与用户相匹配的授权凭证并返回至客户端。
其中,根据待访问的znode节点的权限定制请求生成与用户相匹配的授权凭证并返回至客户端可以包括如下步骤:
1、认证系统对用户进行资格审核;
其中,资格审核的过程可以为:将用户与预存储的用户管理系统进行自动匹配,查询用户是否在用户管理系统中,若存在,则审核通过。
2、当审核通过时,根据待访问的znode节点的权限定制请求,生成与用户相匹配的授权凭证并发送至进程守护系统;
其中,用户按照不同的层级存储在用户管理系统中;因此,在生成授权凭证时,可根据用户层级生成相匹配的授权凭证。授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限。
示例性的,用户A为一级用户,其具有对znode节点的增加、删除、修改、查询、管理权限;用户B为四级用户,其具有对znode节点的查询权限。
通过对不同层级的用户生成不同的授权凭证,可以实现权限定制化,满足用户需求,同时也方便认证系统进行权限管理,从而提高数据仓库的高可用性和安全性。
此外,认证系统通过定时心跳与进程守护系统进行通信,因此认证系统可以定时向进程守护系统发送有效的授权凭证。
3、进程守护系统将授权凭证下发至对应的客户端。
具体参考图2,进程守护系统将不同的授权凭证分发至对应的客户端,保证了授权凭证的有效性。
此外,进程守护系统对客户端预先获得的授权凭证进行有效性校验可以包括如下步骤:
1、进程守护系统获取授权凭证的有效时间期限及系统时间;
2、判断系统时间是否位于有效时间期限内,得到判断结果。
示例性的,若当前授权凭证的生成时间为2019.09.03 8:00am,有效期为24hour,因此当前授权凭证的有效时间期限为:2019.09.03 8:00am~2019.09.048:00am,若当前系统时间为2019.09.03 14:00pm,则系统时间位于有效时间期限内,当前授权凭证有效;若当前系统时间为2019.09.04 9:00am,则系统时间不在有效时间期限内,当前授权凭证无效。
此外,当有效性校验不通过时,进程守护系统向认证系统请求重新发送授权凭证。
具体的,当认证系统接受到请求后,重新生成授权凭证的有效时间期间并通过定时心跳返回至进程守护系统。
S14、验证服务端接收znode节点的访问请求和授权凭证后,对授权凭证进行解析、验证,并将验证结果发送至客户端。
具体的,对授权凭证进行解析、验证可以包括如下步骤:
1、验证服务端对授权凭证进行解析,得到解析结果;
其中,解析结果即为用户对znode节点的增加、删除、修改、查询、管理权限。
2、根据预存的访问控制列表信息对解析结果进行验证,得到验证结果。
具体的,将zonde节点的访问控制列表信息与解析结果进行对比、验证,从而核实用户对znode节点的使用权限,进一步保证了数据仓库的安全性。
S16、当验证结果为允许访问znode节点时,客户端通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
在本方案中,数据仓库服务端为Hive服务端。
具体的,该步骤可以包括:
1、客户端系统通过znode节点,获取得到数据仓库的服务端节点;
2、通过数据仓库的服务端节点与数据仓库服务端建立通信连接,从而访问数据仓库。
具体的,在服务端节点中选择任一节点,建立通信连接,从而访问数据仓库。
在建立通信连接后,客户端即可执行Hive查询。
此外,当验证结果为不允许访问znode节点时,验证服务端向客户端发送重新申请znode节点的权限定制指令。
本方案为用户设计了授权凭证,通过对授权凭证的有效性校验及解析验证,得到用户的使用权限,避免出现znode节点被误删、修改及误写等导致数据仓库服务不可用的情况发生,提高了数据仓库的高可用性和安全性;此外,本方案实现了针对不同用户的权限定制化,可从多个维度定制用户需求的权限,满足不同层级用户的权限要求;更进一步地,本方案为授权凭证设计了有效期,可以防止授权凭证被盗用导致数据泄漏。
实施例二
本发明实施例二提供一种提高数据仓库安全性的方法,如图3所示,包括:
S32、当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及授权凭证。
其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限。
在进程守护系统对预先获得的授权凭证有效性校验之前,还可以包括如下步骤:
1、向认证系统发送针对待访问的znode节点的权限定制请求;
2、接收由认证系统返回的根据待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证。
其中,接收由认证系统返回的根据待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证具体包括:
接收由认证系统对用户资格审核通过时,根据待访问的znode节点的权限定制请求,生成并发送至进程守护系统,并由进程守护系统下发的与用户相匹配的授权凭证。
通过进程守护系统下发与用户相匹配的授权凭证,可以保证授权凭证的有效性。
S34、接收由验证服务端发送的对授权凭证进行解析、验证后得到的验证结果。
S36、当验证结果为允许访问znode节点时,通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
其中,通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库可以包括如下步骤:
1、当验证结果为允许访问znode节点时,通过znode节点,获取得到数据仓库的服务端节点;
2、通过数据仓库的服务端节点与数据仓库服务端建立通信连接,从而访问数据仓库。
具体的,在服务端节点中选择任一节点,建立通信连接,即可访问数据仓库。
此外,当验证结果为不允许访问znode节点时,接收验证服务端发送的重新申请znode节点的权限定制指令。
实施例三
本发明实施例三提供一种提高数据仓库安全性的方法,如图4所示,包括:
S42、接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由客户端发送的针对znode节点的访问请求及授权凭证。
其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限。
S44、对授权凭证进行解析、验证,并将验证结果发送至客户端。
具体的,对授权凭证进行解析、验证具体包括:
1、对授权凭证进行解析,得到解析结果;
2、根据预存的访问控制列表信息对解析结果进行验证,得到验证结果。
S46、当验证结果为允许访问znode节点时,与客户端连接以使客户端通过znode节点与数据仓库服务端建立通信连接,从而便于客户端访问数据仓库。
此外,当验证结果为不允许访问znode节点时,向客户端发送重新申请znode节点的权限定制指令。
实施例四
对应上述实施例一的方法,本发明实施例四提供一种提高数据仓库安全性的装置,如图5所示,包括:进程守护系统51、客户端52、验证服务端53、数据仓库服务端54;
进程守护系统51用于对客户端52预先获得的授权凭证进行有效性校验;其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限;
客户端52用于当进程守护系统51对客户端52预先获得的授权凭证有效性校验通过时,向验证服务端53发送针对znode节点的访问请求及授权凭证;
验证服务端53用于接收znode节点的访问请求和授权凭证,并对授权凭证进行解析、验证,将验证结果发送至客户端52;
客户端52还用于接收验证服务端53发送的验证结果,当验证结果为允许访问znode节点时,通过znode节点与数据仓库服务端54建立通信连接,从而访问数据仓库。
优选的,上述装置还包括:认证系统55;
认证系统55用于接收用户通过客户端52发送的针对待访问的znode节点的权限定制请求,根据待访问的znode节点的权限定制请求生成与用户相匹配的授权凭证并返回至客户端52;
优选的,上述认证系统55具体包括:
管理模块551,用于对用户进行资格审核;
权限定制模块552,用于当审核通过时,根据待访问的znode节点的权限定制请求,生成与用户相匹配的授权凭证;
管理模块551还用于将授权凭证发送至进程守护系统51;
进程守护系统51还用于将授权凭证下发至对应的客户端52。
优选的,上述进程守护系统51还用于当进程守护系统51对客户端52预先获得的授权凭证有效性校验不通过时,向认证系统55请求重新发送授权凭证。
优选的,上述进程守护系统51包括:
获取模块511,用于获取授权凭证的有效时间期限及系统时间;
判断模块512,用于判断系统时间是否位于有效时间期限内,得到判断结果。
优选的,上述验证服务端53包括:
解析模块531,用于对授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对解析结果进行验证,得到验证结果。
优选的,上述客户端52具体用于通过znode节点,获取得到数据仓库的服务端节点;
通过数据仓库的服务端节点与数据仓库服务端54建立通信连接,从而访问数据仓库。
实施例五
对应上述实施例二的方法,本发明实施例五提供一种客户端,如图6所示,客户端包括:发送模块61、接收模块62、连接模块63;
发送模块61用于当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及授权凭证;其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限;
接收模块62用于接收由验证服务端发送的对授权凭证进行解析、验证后得到的验证结果;
连接模块63用于当验证结果为允许访问znode节点时,通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,上述发送模块61还用于向认证系统发送针对待访问的znode节点的权限定制请求;
上述接收模块62还用于接收由认证系统返回的根据待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证。
优选的,上述接收模块62具体用于接收由认证系统对用户资格审核通过时,根据待访问的znode节点的权限定制请求,生成并发送至进程守护系统,并由进程守护系统下发的与用户相匹配的授权凭证。
优选的,上述客户端还包括:
获取模块64,用于通过znode节点,获取得到数据仓库的服务端节点;
上述连接模块63具体用于通过数据仓库的服务端节点与数据仓库服务端建立通信连接,从而访问数据仓库。
实施例六
对应上述实施例三的方法,本发明实施例六提供一种服务端,如图7所示,包括:发送模块71、接收模块72、解析模块73、连接模块74;
接收模块72用于接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由客户端发送的针对znode节点的访问请求及授权凭证;其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限;
解析模块73用于对授权凭证进行解析、验证;
发送模块71用于将验证结果发送至客户端;
连接模块74用于当验证结果为允许访问znode节点时,与客户端连接以使客户端通过znode节点与数据仓库服务端建立通信连接,从而便于客户端访问数据仓库。
优选的,上述解析模块73具体用于对授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对解析结果进行验证,得到验证结果。
尽管已描述了本发明实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种提高数据仓库安全性的方法,其特征在于,所述方法包括:
进程守护系统对客户端预先获得的授权凭证进行有效性校验,当有效性校验通过时,客户端向验证服务端发送针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述验证服务端接收所述znode节点的访问请求和所述授权凭证后,对所述授权凭证进行解析、验证,并将验证结果发送至所述客户端;
当验证结果为允许访问所述znode节点时,所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
认证系统接收用户通过所述客户端发送的针对待访问的znode节点的权限定制请求,根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端。
3.根据权利要求2所述的方法,其特征在于,所述根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端具体包括:
所述认证系统对所述用户进行资格审核;
当审核通过时,根据所述待访问的znode节点的权限定制请求,生成与所述用户相匹配的授权凭证并发送至所述进程守护系统;
所述进程守护系统将所述授权凭证下发至对应的客户端。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述进程守护系统对客户端预先获得的授权凭证有效性校验不通过时,所述进程守护系统向所述认证系统请求重新发送所述授权凭证。
5.根据权利要求1所述的方法,其特征在于,所述进程守护系统对客户端预先获得的授权凭证进行有效性校验具体包括:
所述进程守护系统获取所述授权凭证的有效时间期限及系统时间;
判断所述系统时间是否位于所述有效时间期限内,得到判断结果。
6.根据权利要求1所述的方法,其特征在于,所述对所述授权凭证进行解析、验证具体包括:
所述验证服务端对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
7.根据权利要求1所述的方法,其特征在于,所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库具体包括:
所述客户端通过所述znode节点,获取得到数据仓库的服务端节点;
通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
8.一种提高数据仓库安全性的方法,其特征在于,所述方法包括:
当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
接收由所述验证服务端发送的对所述授权凭证进行解析、验证后得到的验证结果;
当验证结果为允许访问所述znode节点时,通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
9.一种提高数据仓库安全性的方法,其特征在于,所述方法包括:
接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由所述客户端发送的针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
对所述授权凭证进行解析、验证,并将验证结果发送至所述客户端;
当验证结果为允许访问所述znode节点时,与所述客户端连接以使所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而便于所述客户端访问数据仓库。
10.一种提高数据仓库安全性的装置,其特征在于,所述装置包括:进程守护系统、客户端、验证服务端、数据仓库服务端;
所述进程守护系统用于对客户端预先获得的授权凭证进行有效性校验;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述客户端用于当所述进程守护系统对所述客户端预先获得的授权凭证有效性校验通过时,向所述验证服务端发送针对znode节点的访问请求及所述授权凭证;
所述验证服务端用于接收所述znode节点的访问请求和所述授权凭证,并对所述授权凭证进行解析、验证,将验证结果发送至所述客户端;
所述客户端还用于接收所述验证服务端发送的所述验证结果,当所述验证结果为允许访问所述znode节点时,通过所述znode节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
CN201910857319.9A 2019-09-11 2019-09-11 一种提高数据仓库安全性的方法、装置 Active CN110740122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910857319.9A CN110740122B (zh) 2019-09-11 2019-09-11 一种提高数据仓库安全性的方法、装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910857319.9A CN110740122B (zh) 2019-09-11 2019-09-11 一种提高数据仓库安全性的方法、装置

Publications (2)

Publication Number Publication Date
CN110740122A true CN110740122A (zh) 2020-01-31
CN110740122B CN110740122B (zh) 2022-06-07

Family

ID=69267814

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910857319.9A Active CN110740122B (zh) 2019-09-11 2019-09-11 一种提高数据仓库安全性的方法、装置

Country Status (1)

Country Link
CN (1) CN110740122B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112153032A (zh) * 2020-09-15 2020-12-29 腾讯科技(深圳)有限公司 一种信息处理方法、装置、计算机可读存储介质及系统
CN113572733A (zh) * 2021-06-23 2021-10-29 北京思特奇信息技术股份有限公司 一种基于前端模块的安全管控方法和安全管控系统

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011097670A1 (en) * 2010-02-09 2011-08-18 Zap Holdings Limited Database access licence management
CN102457555A (zh) * 2010-10-28 2012-05-16 中兴通讯股份有限公司 一种分布式存储的安全系统及方法
CN105656903A (zh) * 2016-01-15 2016-06-08 国家计算机网络与信息安全管理中心 一种Hive平台的用户安全管理系统及应用
CN106161462A (zh) * 2016-08-29 2016-11-23 无锡华云数据技术服务有限公司 一种网络安全认证方法
US20170171246A1 (en) * 2015-12-10 2017-06-15 BlueTalon, Inc. Policy enforcement for compute nodes
CN107257334A (zh) * 2017-06-08 2017-10-17 中国电子科技集团公司第三十二研究所 用于Hadoop集群的身份认证方法
CN107622211A (zh) * 2017-09-27 2018-01-23 浪潮软件股份有限公司 一种大数据集群权限访问控制方法及装置
CN107766402A (zh) * 2017-06-27 2018-03-06 深圳市云房网络科技有限公司 一种楼盘字典云房源大数据平台
CN108337104A (zh) * 2017-12-16 2018-07-27 国网信通亿力科技有限责任公司 大数据平台安全防护方法
CN109145041A (zh) * 2018-07-18 2019-01-04 北京云星宇交通科技股份有限公司 一种数据访问方法及系统
CN109840253A (zh) * 2019-01-10 2019-06-04 北京工业大学 企业级大数据平台架构

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011097670A1 (en) * 2010-02-09 2011-08-18 Zap Holdings Limited Database access licence management
CN102457555A (zh) * 2010-10-28 2012-05-16 中兴通讯股份有限公司 一种分布式存储的安全系统及方法
US20170171246A1 (en) * 2015-12-10 2017-06-15 BlueTalon, Inc. Policy enforcement for compute nodes
CN105656903A (zh) * 2016-01-15 2016-06-08 国家计算机网络与信息安全管理中心 一种Hive平台的用户安全管理系统及应用
CN106161462A (zh) * 2016-08-29 2016-11-23 无锡华云数据技术服务有限公司 一种网络安全认证方法
CN107257334A (zh) * 2017-06-08 2017-10-17 中国电子科技集团公司第三十二研究所 用于Hadoop集群的身份认证方法
CN107766402A (zh) * 2017-06-27 2018-03-06 深圳市云房网络科技有限公司 一种楼盘字典云房源大数据平台
CN107622211A (zh) * 2017-09-27 2018-01-23 浪潮软件股份有限公司 一种大数据集群权限访问控制方法及装置
CN108337104A (zh) * 2017-12-16 2018-07-27 国网信通亿力科技有限责任公司 大数据平台安全防护方法
CN109145041A (zh) * 2018-07-18 2019-01-04 北京云星宇交通科技股份有限公司 一种数据访问方法及系统
CN109840253A (zh) * 2019-01-10 2019-06-04 北京工业大学 企业级大数据平台架构

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈娇: "大数据环境下HIVE访问控制技术研究", 《软件导刊》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112153032A (zh) * 2020-09-15 2020-12-29 腾讯科技(深圳)有限公司 一种信息处理方法、装置、计算机可读存储介质及系统
CN113572733A (zh) * 2021-06-23 2021-10-29 北京思特奇信息技术股份有限公司 一种基于前端模块的安全管控方法和安全管控系统
CN113572733B (zh) * 2021-06-23 2024-04-12 北京思特奇信息技术股份有限公司 一种基于前端模块的安全管控方法和安全管控系统

Also Published As

Publication number Publication date
CN110740122B (zh) 2022-06-07

Similar Documents

Publication Publication Date Title
US6754829B1 (en) Certificate-based authentication system for heterogeneous environments
US20170289134A1 (en) Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database
EP1521419B1 (en) Techniques for securing electronic identities
CN107277049B (zh) 一种应用系统的访问方法及装置
US20030120948A1 (en) Authentication and authorization across autonomous network systems
US9148435B2 (en) Establishment of a trust index to enable connections from unknown devices
US20030226036A1 (en) Method and apparatus for single sign-on authentication
CN107122674B (zh) 一种应用于运维审计系统的oracle数据库的访问方法
CN113923020B (zh) SaaS多租户架构的微服务鉴权方法、装置、及设备
KR20000052556A (ko) 외부 시스템 로그인을 위한 자동 서버 결정을 허용하는방법 및 장치
CN109120722B (zh) 一种基于反向代理模式的访问控制方法
CN108632241B (zh) 一种多应用系统统一登录方法和装置
WO2005114946A1 (en) An apparatus, computer-readable memory and method for authenticating and authorizing a service request sent from a service client to a service provider
CN110740122B (zh) 一种提高数据仓库安全性的方法、装置
US11956228B2 (en) Method and apparatus for securely managing computer process access to network resources through delegated system credentials
CN112733103A (zh) 接口访问的控制方法和装置
CN113839966B (zh) 一种基于微服务的安全管理系统
CN112039910B (zh) 一种认证与权限的统一管理的方法、系统、设备及介质
CN105610855A (zh) 一种跨域系统登录验证的方法和装置
CN112685718A (zh) 基于OAuth协议在同账号多端登录时使原访问令牌失效的方法
CN116668190A (zh) 一种基于浏览器指纹的跨域单点登录方法及系统
CN115118454B (zh) 一种基于移动应用的级联认证系统及认证方法
CN106936794B (zh) 一种用于更改秘钥的方法、装置及设置秘钥的方法、装置
CN111064695A (zh) 一种认证方法及认证系统
CN113973017B (zh) 一种商业智能平台数据处理系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: No.1-1 Suning Avenue, Xuzhuang Software Park, Xuanwu District, Nanjing, Jiangsu Province, 210000

Patentee after: Jiangsu Suning cloud computing Co.,Ltd.

Address before: No.1-1 Suning Avenue, Xuzhuang Software Park, Xuanwu District, Nanjing, Jiangsu Province, 210000

Patentee before: Suning Cloud Computing Co.,Ltd.

CP01 Change in the name or title of a patent holder
TR01 Transfer of patent right

Effective date of registration: 20240313

Address after: 210000, 1-5 story, Jinshan building, 8 Shanxi Road, Nanjing, Jiangsu.

Patentee after: SUNING.COM Co.,Ltd.

Country or region after: China

Address before: No.1-1 Suning Avenue, Xuzhuang Software Park, Xuanwu District, Nanjing, Jiangsu Province, 210000

Patentee before: Jiangsu Suning cloud computing Co.,Ltd.

Country or region before: China

TR01 Transfer of patent right