CN116055116A - 用于私有云的数据访问方法和系统 - Google Patents
用于私有云的数据访问方法和系统 Download PDFInfo
- Publication number
- CN116055116A CN116055116A CN202211630628.0A CN202211630628A CN116055116A CN 116055116 A CN116055116 A CN 116055116A CN 202211630628 A CN202211630628 A CN 202211630628A CN 116055116 A CN116055116 A CN 116055116A
- Authority
- CN
- China
- Prior art keywords
- user
- access
- data
- private cloud
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000007726 management method Methods 0.000 claims description 22
- 238000003860 storage Methods 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 5
- 238000013500 data storage Methods 0.000 claims description 4
- 238000010223 real-time analysis Methods 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 238000004590 computer program Methods 0.000 description 12
- 230000006399 behavior Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 238000000586 desensitisation Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 241000282813 Aepyceros melampus Species 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- CBENFWSGALASAD-UHFFFAOYSA-N Ozone Chemical compound [O-][O+]=O CBENFWSGALASAD-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种用于私有云的数据访问方法和系统,其中,该用于私有云的数据访问方法包括:获取用户端发送的对基础组件或实时服务组件的访问指令,基于访问指令,校验用户端对应的用户ID;若校验用户ID不通过,则拒绝用户端访问,并记录用户ID的访问次数;若访问次数超过访问次数阈值,则限制用户ID的访问权限,并在限制时间超过之后恢复用户ID的访问权限。该方法有利于防止私有云系统内的敏感信息和核心数据等可能会在用户权限未审查的情况下被非法读取,从而提升了私有云的数据安全性。
Description
技术领域
本发明涉及数据保护技术领域,尤其涉及一种用于私有云的数据访问方法和系统。
背景技术
当前很多企业将重要的业务数据存储在第三方公有云。但是依托第三方公有云对数据存储的方式,会使该企业丧失对数据的绝对掌控权。同时,第三方公有云也可能出现数据泄露、受到数据攻击和威胁等现象。这也决定了一些企业不会将其核心数据放到公有云上,相对于公有云,私有云部署逐渐就成为企业保护核心资产的重要的解决方案之一。
但是,私有云建设也逐渐暴露出了一些问题。私有云的大数据平台会将原来孤立的数据进行合并、汇总和存储,并打破了用户天然的访问隔离屏障。数据类型各种各样汇集的情况下,敏感信息和核心数据等可能会在用户权限未审查的情况下被非法读取,从而导致私有云存在数据安全隐患。
发明内容
本发明实施例提供一种用于私有云的数据访问方法和系统,以提升私有云的数据安全性的问题。
一种用于私有云的数据访问方法,包括:
获取用户端发送的对基础组件或实时服务组件的访问指令,基于访问指令,校验用户端对应的用户ID;
若校验用户ID不通过,则拒绝用户端访问,并记录用户ID的访问次数;
若访问次数超过访问次数阈值,则限制用户ID的访问权限,并在限制时间超过之后恢复用户ID的访问权限。
一种用于私有云的数据访问方法,在基于访问指令,校验用户端对应的用户ID之后,还包括:
若校验用户ID通过,则授予用户令牌并限制令牌的访问时间;
若访问时间超过设置的访问阈值,则对令牌作废。
一种用于私有云的数据访问方法,若校验用户ID通过之后,还包括:
授予用户ID对应的用户类别;
基于用户类别,对用户ID的访问权限进行对应的细粒度控制。
一种用于私有云的数据访问方法,还包括:
通过预设脱敏规则,对数据进行脱敏。
一种用于私有云的数据访问方法,在若校验用户ID不通过,则拒绝用户端访问,并记录用户ID的访问次数之后,还包括:
基于访问次数,生成用户ID对应的数据访问日志。
一种用于私有云的数据访问方法,在若校验用户ID通过,则授予用户令牌并限制令牌的访问时间之后,还包括:
基于资源类型、事件时间和用户ID,检索用户ID的行为足迹并进行审计,生成对应的用户操作日志。
一种用于私有云的数据访问系统,包括:基础集群、实时集群和管理平台,其中:
管理平台用于管理基础集群和实时集群,以及集成用于实现用户ID存储的Ldap组件和用户权限认证的Kerberos组件;
基础集群包括多个基础组件,用于控制数据存储和计算资源的调度;以及
实时集群包括多个实时服务组件,用于实时分析数据和输出数据。
一种用于私有云的数据访问系统,还包括Ranger组件,管理平台还通过Ranger组件对用户ID进行访问权限管控。
一种用于私有云的数据访问系统,基础集群包括Yarn组件,计算资源通过Yarn队列进行环境隔离,并通过Ranger组件对Yarn队列进行权限控制。
一种用于私有云的数据访问系统,通过Web页面实现对用户ID进行访问权限的管控。
一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述用于私有云的数据访问方法。
一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述用于私有云的数据访问方法。
上述用于私有云的数据访问方法、系统、设备和存储介质,通过获取用户端发送的对基础组件或实时服务组件的访问指令,基于访问指令,校验用户端对应的用户ID,若校验用户ID不通过,则拒绝用户端访问,并记录用户ID的访问次数,若访问次数超过访问次数阈值,则限制用户ID的访问权限,并在限制时间超过之后恢复用户ID的访问权限。有利于防止私有云系统内的敏感信息和核心数据等可能会在用户权限未审查的情况下被非法读取,从而提升了私有云的数据安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1绘示本发明一实施例中用于私有云的数据访问方法的应用环境示意图;
图2绘示本发明第一实施例中用于私有云的数据访问方法的第一流程图;
图3绘示本发明第二实施例中用于私有云的数据访问方法的第二流程图;
图4绘示本发明一实施例中用于私有云的数据访问方法的预设脱敏规则的示意图;
图5绘示本发明一实施例中用于私有云的数据访问系统的框架示意图;
图6绘示本发明一实施例中用于私有云的数据访问方法的Yarn队列的树形分布示意图;
图7绘示本发明一实施例中电子设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的用于私有云的数据访问方法,可应用在如图1的应用环境中,该用于私有云的数据访问方法应用在用于私有云的数据访问系统中,该用于私有云的数据访问系统包括客户端和服务器,其中,客户端通过网络与服务器进行通信。客户端又称为用户端,是指与服务器相对应,为客户端提供本地服务的程序。进一步地,客户端为计算机端程序、智能设备的APP程序或嵌入其他APP的第三方小程序。该客户端可安装在但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备等电子设备上。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一实施例中,如图2所示,提供一种用于私有云的数据访问方法,以该方法应用在图1中的服务器为例进行说明,具体包括如下步骤:
S10.获取用户端发送的对基础组件或实时服务组件的访问指令,基于访问指令,校验用户端对应的用户ID。
其中,在本实施例中,基础组件包括但不限于Zookeeper组件、ElasticSearch组件、HBase组件、Hive组件、Ranger组件、HUE组件和HDFS组件等,实时服务组件包括有Zookeper组件、YARN组件、Flink组件和HDFS等。比如:服务器通过HBase组件和Hive组件对数据进行存储,通过ElasticSearch组件对知识图谱、图数据库等进行存储,通过Flink组件做流式计算,比如接收用户的行为数据和审测的实时数据,数据的只要产生就可以实时进行获取。
具体地,当用户端对应的用户对该系统或者该用于私有云的数据访问平台(大数据平台)的各组件进行访问时,用户端向服务器发送该访问指令,服务器获取用户端发送的对基础组件或实时服务组件的访问指令并进行识别,校验其中包含的该用户端对应的用户ID的信息。
S20.若校验用户ID不通过,则拒绝用户端访问,并记录用户ID的访问次数。
具体地,服务器校验用户ID不通过,则拒绝用户端对应的用户ID访问,并记录用户ID的访问次数。同时,当用户访问集群(包括基础集群和实时集群)中的组件(包括基础组件和实时服务组件)时一般会通过resful接口或jdbc等形式进行访问,并需要携带用户名密码或keytab认证文件,访问指令中包含有用户名密码或keytab认证文件。若服务器获取到的用户名密码或keytab认证文件不匹配,则服务器校验不通过。
S30.若访问次数超过访问次数阈值,则限制用户ID的访问权限,并在限制时间超过之后恢复用户ID的访问权限。
具体地,若用户端对应的用户ID的访问次数超过预先设置的访问次数阈值,则服务器限制用户ID的访问权限,并在限制时间超过之后恢复用户ID的访问权限。
例如:当通过爬虫受到数据攻击和非法读取时,不停地通过客户端向服务器发送连接请求等访问指令,该服务器拒绝后记录用户ID的访问次数和频率等,如果是几秒内访问次数和频率比较高,说明该用户ID为异常用户ID,服务器需要对该用户ID做用户访问权限的限制,如该用户ID短时间内最多访问100次,如果超过该访问次数撤销该访问权限,从而对内部数据进行安全保护。
上述用于私有云的数据访问方法,通过获取用户端发送的对基础组件或实时服务组件的访问指令,基于访问指令,校验用户端对应的用户ID,若校验用户ID不通过,则拒绝用户端访问,并记录用户ID的访问次数,若访问次数超过访问次数阈值,则限制用户ID的访问权限,并在限制时间超过之后恢复用户ID的访问权限。有利于防止私有云系统内的敏感信息和核心数据等可能会在用户权限未审查的情况下被非法读取,从而提升了私有云的数据安全性。
在一些实施例中,如图3所示,在步骤S10之后,即在基于访问指令,校验用户端对应的用户ID之后,具体还包括如下步骤:
S11.若校验用户ID通过,则授予用户令牌并限制令牌的访问时间。
S12.若访问时间超过设置的访问阈值,则对令牌作废。
具体地,若服务器校验用户ID通过,则授予用户令牌进行组件访问,并限制令牌的访问时间,若访问时间超过设置的访问阈值,则对令牌作废,用户需要重新进行认证。
各组件的安全访问启用步骤如下:
1.使用Cloudera Manager Kerberos 启用Kerberos认证安全服务。具体地,Cloudera Manager管理平台集成kerberos组件,则可以直接在Cloudera Manager上面安装部署kerberos认证安全服务,Cloudera Manager在部署kerberos时,会有向导式图形化界面,按照图形化页面操作可部署kerberos。
2.用户使用Beeline或者JBDC连接HS2并访问Hive/Impala组件,集成Ldap和Kerberos 存储和认证。具体地,HS2可以为访问Hive/Impala的一个组件入口,用户访问时可连接HS2访问Hive/Impala组件,并且,用户也可以通过beeline客户端工具或者通过JDBC工具访问HS2。为了保证数据安全访问,在访问HS2时需要集成ldap和Kerberos 用以实现用户存储和认证。
3.Hue提供一个可视化SQL开发Web页面,集成Ldap和Kerberos 认证统一管理。
4.Ranger为各个组件提供权限集中管理的Web页面,集成ldap和Kerberos 认证进行统一管理。
在一些实施例中,如图3所示,在步骤S11之后,即在若校验用户ID通过之后,具体还包括如下步骤:
S111.授予用户ID对应的用户类别。
S112.基于用户类别,对用户ID的访问权限进行对应的细粒度控制。
具体地,服务器通过对用户ID进行分析,授予用户ID对应的用户类别,并基于用户类别,通过kerberos组件对用户ID的访问权限进行对应的细粒度控制。
该方法使用ldap和kerberos进行账号管控,并且使用ranger进行权限管控,使特定账号才能访问对应的组件,这样,可以防止组件被任意攻击。并且,在网络层面上也进行了防火墙的限制,进而缩小访问渠道。
在一实施例中,如图3所示,提供一种用于私有云的数据访问方法,具体还包括如下步骤:
S40.通过预设脱敏规则,对数据进行脱敏。
具体地,服务器提供数据脱敏的配置方法,通过预设脱敏规则,对数据进行脱敏。预设脱敏规则可以为Redact(修订)、Partial mask(部分掩码)、show first 4 or last 4(显示前四个或后四个)、Hash(搞砸)、Nullify(作废)等。如图4所示。
步骤S40的作用在于,对数据进行脱敏,提升数据安全性。
在一些实施例中,如图3所示,在步骤S20之后,即在若校验用户ID不通过,则拒绝用户端访问,并记录用户ID的访问次数之后,具体还包括如下步骤:
S21.基于访问次数,生成用户ID对应的数据访问日志。
具体地,服务器基于访问次数,生成用户ID对应的数据访问日志。
在一些实施例中,如图3所示,在步骤S11之后,即在若校验用户ID通过,则授予用户令牌并限制令牌的访问时间之后,具体还包括如下步骤:
S113.基于资源类型、事件时间和用户ID,检索用户ID的行为足迹并进行审计,生成对应的用户操作日志。
具体地,在本实施例中,资源类型可以为用户ID访问并使用的组件类型,该方法提供检索界面,并能够根据资源类型、事件时间和用户ID等多维度,检索用户ID的行为足迹并进行审计,生成对应的用户操作日志。
步骤S113的作用在于,使各个组件的用户行为足迹能够被审计记录,当数据泄露之后,追查原因较为容易。
上述用于私有云的数据访问方法,通过获取用户端发送的对基础组件或实时服务组件的访问指令,基于访问指令,校验用户端对应的用户ID,若校验用户ID不通过,则拒绝用户端访问,并记录用户ID的访问次数,若访问次数超过访问次数阈值,则限制用户ID的访问权限,并在限制时间超过之后恢复用户ID的访问权限。有利于防止私有云系统内的敏感信息和核心数据等可能会在用户权限未审查的情况下被非法读取,从而提升了私有云的数据安全性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种用于私有云的数据访问系统,该用于私有云的数据访问系统与上述实施例中用于私有云的数据访问方法对应。如图5所示,该用于私有云的数据访问系统包括基础集群、实时集群和管理平台,其中:
管理平台用于管理基础集群和实时集群,以及集成用于实现用户ID存储的Ldap组件和用户权限认证的Kerberos组件;基础集群包括多个基础组件,用于控制数据存储和计算资源的调度;以及实时集群包括多个实时服务组件,用于实时分析数据和输出数据。
通过上述方案,如图5所示,基础集群包括有Zookeeper、HBase、Ranger、HUE 、HDFS和ElasticSearch等基础组件,实时集群包括有Zookeeper,YARN、Flink和HDFS等实时服务组件。图5中的基础集群为大数据生产基础集群,实时集群为大数据生产实时集群。另外,基础组件可以是实时服务组件,实时服务组件也可以是基础组件。管理平台统一化管理基础集群和实时服务集群,并通过管理平台管理(Cloudera Manager)中的管理平台组件(Cloudera Management Service)对各组件(基础集群和实时服务集群)进行安装、卸载、监控、重启等操作。管理平台集成用于实现用户ID存储的Ldap组件和用户权限认证的Kerberos组件。
这样,在整个的架构建设中,减少了各组件的访问通道(各组件使用Ldap和Kerberos进行账号管控,不满足这些账号的认证不能访问),并设置了安全认证服务体系,加大了数据安全的防御能力。
一种用于私有云的数据访问系统,还包括Ranger组件,管理平台还通过Ranger组件对用户ID进行访问权限管控。
通过上述方案,为了进一步提高各组件的安全权限管控,通过Ranger组件对用户ID进行细粒度的访问权限管控。具体步骤如下:
1.在HDFS、YARN、HBase、Hive、Kafka、Kudu、Ozone等各组件中集成Ranger plugin,通过插件式差异化管理同步组件的权限访问策略。
2.基础集群包括Yarn组件,使计算资源通过Yarn队列进行环境隔离,并通过Ranger组件对Yarn队列进行权限控制。具体地,Yarn组件根据任务的环境进行划分了三个队列,三个队列为开发环境队列,测试环境队列,生产环境队列。开发环境的任务只能提交到开发环境的yarn队列中,同理,测试环境队列和生产环境任务只能分别提交到测试环境和生产环境的yarn队列中,该系统或者大数据平台通过Ranger组件对三个Yarn队列分别进行不同的权限控制和配置。Yarn使用Capacity Schedule调度策略,队列为树形分布形式,如下图6所示。
一种用于私有云的数据访问系统,通过Web页面实现对用户ID进行访问权限的管控。
通过上述方案,Ranger可以为该系统中的各组件提供了访问权限集中管理的Web页面,集成Ldap和Kerberos 认证进行统一管理。
在一实施例中,提供了一种电子设备,该电子设备可以是服务器,其内部结构图可以如图7所示。该电子设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的数据库用于私有云的数据访问方法相关的数据。该电子设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种用于私有云的数据访问方法。
在一实施例中,提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例用于私有云的数据访问方法,例如图2所示S10至步骤S30。或者,处理器执行计算机程序时实现上述实施例中用于私有云的数据访问系统的功能。在一实施例中,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例用于私有云的数据访问方法,例如图2所示S10至步骤S30。或者,该计算机程序被处理器执行时实现上述系统实施例中用于私有云的数据访问系统中的功能。为避免重复,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述系统的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用于私有云的数据访问方法,其特征在于,包括:
获取用户端发送的对基础组件或实时服务组件的访问指令,基于所述访问指令,校验所述用户端对应的用户ID;
若校验所述用户ID不通过,则拒绝所述用户端访问,并记录所述用户ID的访问次数;
若所述访问次数超过访问次数阈值,则限制所述用户ID的访问权限,并在限制时间超过之后恢复所述用户ID的所述访问权限。
2.根据权利要求1所述的用于私有云的数据访问方法,其特征在于,
在所述基于所述访问指令,校验所述用户端对应的用户ID之后,还包括:
若校验所述用户ID通过,则授予所述用户令牌并限制所述令牌的访问时间;
若所述访问时间超过设置的访问阈值,则对所述令牌作废。
3.根据权利要求2所述的用于私有云的数据访问方法,其特征在于,
在所述若校验所述用户ID通过之后,还包括:
授予所述用户ID对应的用户类别;
基于所述用户类别,对用户ID的访问权限进行对应的细粒度控制。
4.根据权利要求2所述的用于私有云的数据访问方法,其特征在于,还包括:
通过预设脱敏规则,对数据进行脱敏。
5.根据权利要求1所述的用于私有云的数据访问方法,其特征在于,在所述若校验所述用户ID不通过,则拒绝所述用户端访问,并记录所述用户ID的访问次数之后,还包括:
基于所述访问次数,生成所述用户ID对应的数据访问日志。
6.根据权利要求2所述的用于私有云的数据访问方法,其特征在于,在若校验所述用户ID通过,则授予所述用户令牌并限制所述令牌的访问时间之后,还包括:
基于资源类型、事件时间和所述用户ID,检索所述用户ID的行为足迹并进行审计,生成对应的用户操作日志。
7.一种用于私有云的数据访问系统,其特征在于,包括:基础集群、实时集群和管理平台,其中:
所述管理平台用于管理所述基础集群和所述实时集群,以及集成用于实现用户ID存储的Ldap组件和用户权限认证的Kerberos组件;
所述基础集群包括多个基础组件,用于控制数据存储和计算资源的调度;以及
所述实时集群包括多个实时服务组件,用于实时分析数据和输出数据。
8.根据权利要求7所述的用于私有云的数据访问系统,其特征在于,还包括Ranger组件,所述管理平台还通过所述Ranger组件对所述用户ID进行访问权限管控。
9.根据权利要求8所述的用于私有云的数据访问系统,其特征在于,所述基础集群包括Yarn组件,所述计算资源通过Yarn队列进行环境隔离,并通过所述Ranger组件对所述Yarn队列进行权限控制。
10.根据权利要求8所述的用于私有云的数据访问系统,其特征在于,
通过Web页面实现对所述用户ID进行访问权限的管控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211630628.0A CN116055116A (zh) | 2022-12-19 | 2022-12-19 | 用于私有云的数据访问方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211630628.0A CN116055116A (zh) | 2022-12-19 | 2022-12-19 | 用于私有云的数据访问方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116055116A true CN116055116A (zh) | 2023-05-02 |
Family
ID=86117245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211630628.0A Withdrawn CN116055116A (zh) | 2022-12-19 | 2022-12-19 | 用于私有云的数据访问方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055116A (zh) |
-
2022
- 2022-12-19 CN CN202211630628.0A patent/CN116055116A/zh not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10650156B2 (en) | Environmental security controls to prevent unauthorized access to files, programs, and objects | |
| US10659482B2 (en) | Robotic process automation resource insulation system | |
| US20060075469A1 (en) | Integrated access authorization | |
| US20060075492A1 (en) | Access authorization with anomaly detection | |
| CN112565453B (zh) | 一种物联网下的区块链访问控制策略模型及策略保护方案 | |
| JP4636607B2 (ja) | セキュリティ対策アプリケーションの機密ファイル保護方法 | |
| CN105827645B (zh) | 一种用于访问控制的方法、设备与系统 | |
| WO2021208758A1 (zh) | 数据权限管理 | |
| CN113468576B (zh) | 一种基于角色的数据安全访问方法及装置 | |
| US9516031B2 (en) | Assignment of security contexts to define access permissions for file system objects | |
| US20140230012A1 (en) | Systems, methods, and media for policy-based monitoring and controlling of applications | |
| CN114422197A (zh) | 一种基于策略管理的权限访问控制方法及系统 | |
| CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
| Pandey et al. | Security enforcement using TRBAC in cloud computing | |
| RU2311676C2 (ru) | Способ обеспечения доступа к объектам корпоративной сети | |
| CN117494154A (zh) | 一种基于零信任的电力大数据安全管理方法及系统 | |
| Raisian et al. | Security issues model on cloud computing: A case of Malaysia | |
| US20210042043A1 (en) | Secure Data Processing | |
| CN116244733A (zh) | 基于零信任模型的数据处理方法、装置及电子设备 | |
| CN116055116A (zh) | 用于私有云的数据访问方法和系统 | |
| CN115879156A (zh) | 动态脱敏方法、装置、电子设备及储存介质 | |
| US20220255970A1 (en) | Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices | |
| CN114692126A (zh) | 大数据统一授权访问方法、装置、电子设备及介质 | |
| Armando et al. | Mobile App Security Analysis with the MAVeriC Static Analysis Module. | |
| Reddy | Access control mechanisms in Big Data processing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20230502 |
|
| WW01 | Invention patent application withdrawn after publication |