WO2016127664A1

WO2016127664A1 - 一种访问控制方法和系统

Info

Publication number: WO2016127664A1
Application number: PCT/CN2015/093208
Authority: WO
Inventors: 罗圣美
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-02-15
Filing date: 2015-10-29
Publication date: 2016-08-18
Also published as: CN105991596A; CN105991596B

Abstract

本文公布一种访问控制方法和系统，该方法包括：在接收到用户申请服务的请求后，查询该用户的信任度信息；在根据查询到的用户的信任度信息判断该用户可信时，查询能够为该用户提供服务的候选服务节点的信任度信息，结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点。

Description

一种访问控制方法和系统

技术领域

本申请涉及但不限于计算机集群技术领域。

背景技术

Hadoop是一个分布式开源的框架，不仅可以用来存储海量数据，还支持Google公司的Mapreduce分布式计算框架，目前已被应用在云计算平台中。为提高Hadoop集群安全，使用基于SSL(Secure Sockets Layer，安全套接层)的Kerberos进行Hadoop集群的访问控制来保护HDFS(Hadoop Distributed File System，Hadoop分布式文件系统)和Mapreduce。

Kerberos是一种网络认证协议，其目标是通过对称密钥体制为C/S(客户端/服务器)应用程序提供可靠安全的认证服务。这一协议要求共同认证，也就是说，在客户端允许使用服务器端资源之前，客户端和服务器端必须相互认证对方身份。Kerberos认证的目的在于让非加密网络的应用程序在通信时，通过加密的方式向对方认证它们的身份。采用Kerberos的Hadoop安全防护机制的特点在于：(1)Kerberos能够可靠地进行用户和节点的认证；(2)通过Kerberos认证后客户端会获得名称节点(NameNode)发放的令牌，在指定时间域内用户不需要再次经过KDC(Key Distribution Center，密钥分发中心)认证，为KDC减轻了负担；(3)非法用户在没有节点访问令牌时无法绕过Kerberos认证。

但是，Kerberos也存在局限性，比如，在访问令牌被恶意窃取后，数据的保密性与完整性仍然会遭遇风险。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本文提供一种访问控制方法和系统，能够提高Hadoop集群系统的安全性。

一种访问控制方法，该方法包括：

在接收到用户申请服务的请求后，查询该用户的信任度信息；

在根据查询到的用户的信任度信息判断该用户可信时，查询能够为该用户提供服务的候选服务节点的信任度信息，结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点。

可选地，该方法还包括下述特点：

所述方法还包括：

在根据查询到的用户的信任度信息判断该用户不可信时，拒绝为所述用户发放访问服务节点的令牌。

可选地，该方法还包括下述特点：

所述方法还包括：

收集节点的行为数据，根据信任值计算模型和收集到的行为数据计算节点的信任值。

可选地，该方法还包括下述特点：

收集节点的行为数据，根据信任值计算模型和收集到的行为数据计算节点的信任值，包括：

收集当前统计周期内的节点之间评定的本地信任值信息；

对每一个节点，将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均，获得的加权平均值作为所述节点在当前统计周期内的全局信任值；其中，每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值；

在获得所有目标节点在当前统计周期内的全局信任值后，对每一个节点在当前统计周期内的全局信任值进行归一化处理，包括：对任意一个节点，将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和，得到的商作为所述节点在当前统计周期内的归一化全局信任值。

可选地，该方法还包括下述特点：

所述方法还包括：

在确定节点的信任值后，还根据节点的信任值确定节点的安全等级；

其中，所述安全等级为：危险级、一般安全级或高安全级。

可选地，该方法还包括下述特点：

结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点，包括：

根据节点的信任值和资源占用情况对能够提供服务的候选服务节点进行排序，根据排序结果挑选为所述用户提供服务的服务节点。

可选地，该方法还包括下述特点：

所述方法还包括：

在确定一个或多个服务节点的安全等级为危险级时，限制所述服务节点提供服务。

一种访问控制系统，包括：

节点监测模块，设置为：监测节点之间的通信，将节点之间的信任关系数据上报给信任值计算模块；

信任值计算模块，设置为：计算节点的信任值；

调度及控制模块，设置为：在接收到用户申请服务的请求后，查询该用户的信任度信息，在根据查询到的用户的信任度信息判断该用户可信时，从信任值计算模块查询能够为所述用户提供服务的候选服务节点的信任度信息，结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点。

可选地，该系统还包括下述特点：

调度及控制模块，还设置为：在根据查询到的信任度信息判断该用户不可信时，拒绝为所述用户发放访问服务节点的令牌。

可选地，该系统还包括下述特点：

信任值计算模块，是设置为：收集到节点的行为数据后，根据信任值计算模型和收集到的行为数据计算节点的信任值。

可选地，该系统还包括下述特点：

信任值计算模块，是设置为：

收集到当前统计周期内的节点之间评定的本地信任值信息后，对每一个节点，将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均，获得的加权平均值作为所述节点在当前统计周期内的全局信任值；其中，每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值；

可选地，该系统还包括下述特点：

所述系统还包括：

安全等级划分模块，设置为：根据节点的信任值确定节点的安全等级；

其中，所述安全等级为：危险级、一般安全级或高安全级。

可选地，该系统还包括下述特点：

调度及控制模块，是设置为：

可选地，该系统还包括下述特点：

调度及控制模块，还设置为：在确定一个或多个服务节点的安全等级为危险级时，限制所述服务节点提供服务。

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述任一项的方法。

与相关技术相比，本发明实施例提供的一种访问控制方法和系统，通过信任模型计算出的服务节点信任值可以优化服务节点的调度，采用信任值计算，通过用户的信任度信息控制块令牌的发放，有助于NameNode节点对用户的细粒度的访问控制，并且用户获取到令牌后进行的操作也影响着自身的信任值，本发明实施例能够提高Hadoop集群系统的安全性。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本发明实施例的一种访问控制方法的流程图。

图2为本发明实施例的一种访问控制系统的结构示意图。

图3为本发明应用示例中节点间的信任值有向图示意。

图4为本发明应用示例中在NameNode节点上部署本发明的访问控制系统的示意图。

图5为本发明应用示例中在Kerberos认证环境下根据信任值向用户发放令牌的示意图。

本发明的实施方式

下文中将结合附图对本发明的实施方式进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

如图1所示，本发明实施例提供了一种访问控制方法，该方法包括：

S10，在接收到用户申请服务的请求后，查询该用户的信任度信息；

S20，在根据查询到的用户的信任度信息判断该用户可信时，查询能够为该用户提供服务的候选服务节点的信任度信息，结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点。

所述方法还可以包括下述特点：

其中，在接收到用户申请服务的请求后，查询该用户的信任度信息，包括：

在接收到通过了密钥分发中心KDC认证的用户申请服务的请求后，查询该用户的信任度信息。

其中，在根据查询到的信任度信息判断该用户不可信时，拒绝为所述用户发放访问服务节点的块令牌。

其中，根据查询到的信任度信息判断该用户是否可信，包括：

如查询到所述用户的信任度等级高于阈值，则判断该用户可信，如查询到所述用户的信任度等级等于或低于阈值，则判断该用户不可信；

其中，所述方法还包括：收集节点的行为数据，根据信任值计算模型和收集到的行为数据计算节点的信任值，包括：

收集当前统计周期内的节点之间评定的本地信任值信息；

也即，对任意一个节点i，假设在当前统计周期t+1内，一共有N个节点参与信任值计算，任意一个节点j对节点i评定的本地信任值为m_ij，节点j在上一个统计周期t内的归一化全局信任值为r_j(t)，则节点i在当前统计周期t+1内的全局信任值v_i(t+1)为：

将节点i在当前统计周期t+1内的全局信任值v_i(t+1)进行归一化处理，则节点i在当前统计周期t+1内的归一化全局信任值r_i(t+1)为：

其中，所述节点包括服务节点和用户所在的节点；

其中，所述方法还包括：

其中，所述安全等级为：危险级、一般安全级或高安全级。

其中，所述方法还包括：

其中，结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点，包括：

比如，优先选择信任值高的和剩余资源充足的服务节点为用户提供服务；

其中，在确定为用户提供服务的服务节点后，向所述用户发送用于访问所述提供服务的服务节点的块令牌。

如图2所示，本发明实施例提供了一种访问控制系统，包括：

节点监测模块21，设置为：监测节点之间的通信，将节点之间的信任关系数据上报给信任值计算模块22；

信任值计算模块22，设置为：计算节点的信任值；

调度及控制模块23，设置为：在接收到用户申请服务的请求后，查询该用户的信任度信息，在根据查询到的用户的信任度信息判断该用户可信时，从信任值计算模块22查询能够为所述用户提供服务的候选服务节点的信任度信息，结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点。

所述系统还可以包括下述特点：

其中，调度及控制模块23，还设置为：在根据查询到的信任度信息判断该用户不可信时，拒绝为所述用户发放访问服务节点的块令牌。

其中，信任值计算模块22，是设置为：收集到节点的行为数据后，根据信任值计算模型和收集到的行为数据计算节点的信任值。

其中，信任值计算模块22，是设置为：

其中，所述系统还可包括：

其中，所述安全等级为：危险级、一般安全级或高安全级。

其中，调度及控制模块23，是设置为：

其中，调度及控制模块23，还设置为：在确定一个或多个服务节点的安全等级为危险级时，限制所述服务节点提供服务。

应用示例

基于用户的行为分析，判断行为的友好性，需要引入用户信任值的概念，信任值采用赋初值的方式计算，根据专家库里的更新策略进行更新计算。

为了完成信任值的计算，需要对用户和服务节点的行为进行细致的跟踪记录。通过服务节点进行用户行为的跟踪，记录行为开始与结束时的可信证据，返回给NameNode，生成每个用户的行为数据集合，根据行为数据集合，通过建立全局的信任模型，计算出用户与服务节点的信任值。

举例如下：

如图3所示，假设Hadoop系统中有5个节点，分别是：N1、N2、N3、N4、N5，图3所示的有向图是用来表示每个节点的信任值的。有向图中每一条有向边上的数值是对端节点评定的本端节点的信任值，信任值是(0,1)之间的一个小数，0表示没有任何信任(或者没有交互)，1表示百分之百信任，节点内的数值是上一个统计周期t内该节点的归一化全局信任值。

一个节点的全局信任值是根据所有对端节点对该节点评定的信任值进行加权平均后得到的，其中，每一个对端节点评定的信任值用该对端节点在上一个统计周期内t内的归一化全局信任值来加权。也即，计算一个节点的全局信任值时，信任模型考虑所有与该节点交互过的节点对它的意见。一个节点在一个操作完成之后将对与它交互过的节点进行反馈，以便在以后的交互中使用。

假设在上一统计周期t内，N1、N2、N3、N4、N5的归一化的全局信任值依次是：

r1(t)＝0.32；

r2(t)＝0.001；

r3(t)＝0.009；

r4(t)＝0.04；

r5(t)＝0.63；

N1、N2、N3、N4、N5节点在当前统计周期t内的全局信任值分别如下：

V1(t+1)＝0.001*0.6+*0.009*0.5＝0.0051；

V2(t+1)＝0.32*0.3+0.009*0.2＝0.0978；

V3(t+1)＝0.32*0.3+0.001*0.4+0.63*0.8＝0.6004；

V4(t+1)＝0.32*0.3+0.009*0.3+0.63*0.2＝0.2247；

V5(t+1)＝0.32*0.1＝0.032；

通过把每一个节点的全局信任值除以所有节点的全局信任值之和，可以得到每一个节点的归一化全局信任值：

r1(t+1)＝0.0051/(0.0051+0.0978+0.6004+0.2247+0.032)＝0.005313；

r2(t+1)＝0.0978/(0.0051+0.0978+0.6004+0.2247+0.032)＝0.101875；

r3(t+1)＝0.6004/(0.0051+0.0978+0.6004+0.2247+0.032)＝0.625417；

r4(t+1)＝0.2247/(0.0051+0.0978+0.6004+0.2247+0.032)＝0.234063；

r5(t+1)＝0.032/(0.0051+0.0978+0.6004+0.2247+0.032)＝0.033333；

如图4所示，在Hadoop的NameNode节点部署信任值计算模块、等级划分模块、控制模块和节点调度模块。

节点监测模块：监测节点之间的通信，通过读写数据块的频率、读写数据块的成功率，建立节点之间的信任值，主要参数包括：存储空间占用率、成功的服务提交比率、网络占用率。

信任值计算模块：根据信任模型，计算节点的信任值。

等级划分模块：根据系统的安全策略，划分不同的等级，以优化节点的调度。

控制模块：对服务的安全要求进行解析，根据节点的安全等级进行服务的控制。

比如，控制模块可以中止等级过低的节点当前的服务，发送警示数据包给系统管理员。

调度模块：生成服务的可选节点集合，用信任值、安全级、实时网络通信能力，加权计算出节点集合的排序列表，选择服务能力最强最可靠的节点提供服务，在该节点出现挂起等异常时选择下一节点进行服务，本模块用来控制NameNode的节点调度。也即，基于可服务节点集计算优先次序表，依次选择最优的服务节点。

实施步骤：

步骤1：启动节点监测模块，使其保持活跃状态。

步骤2：记录时间域t内节点之间的交互记录、节点提交的任务数、节点完成的任务描述、节点失败的任务描述、节点的网络带宽占用率。

步骤3：节点监测模块将时间域t内的数据记录集提交给信任值计算模块。

步骤4：信任值计算模块采用信任模型，构建节点的信任矩阵，计算出每个节点的信任值。

步骤5：信任值计算模块将节点信任值列表传递给等级划分模块。

步骤6：等级划分模块根据系统划分规则与节点的信任值划分出节点的安全等级，比如，划分危险级、一般安全级和高安全级。

步骤7：等级划分模块将节点的信任等级标记到信任值数据包中，传递给控制模块。

步骤8：控制模块收到信任值包后，查看等级，发现有危险级节点时，发送请求给调度模块，调度模块收到请求后中止危险级节点的服务。

步骤9：用户向主节点(NameNode)申请服务，主节点将服务请求的数据包交给控制模块解析，控制模块解析出服务类型与服务的可选节点。

步骤10：捕获当前节点负载、网络状态量化值，与信任值进行加权计算，生成可服务节点的优先次序表，剔除危险级节点。

步骤11：发送最优节点与次优节点给调度模块，调度模块建立用户与服务的连接，服务启用。

上述方法采用信任模型计算出的节点信任值可以优化节点的调度，同时也参考服务节点的性能等因素。例如一个安全等级高且存储空间剩余多的数据节点(DataNode)将在客户端发起存储文件服务请求时被优先调用，文件的备份将会被存储在下一个最优节点上。

如图5所示，客户端Client向KDC进行认证服务，Client获得了访问NameNode的票据TGT(Ticket Granting Ticket，票据授权票据)后，Client持TGT申请服务，NameNode从信任值库中读取用户信任值，当信任值低于阈值时，拒绝服务，反之发送一个块令牌给用户，用户便可持块令牌访问相应的节点数据，Client行为跟踪模块继续跟踪该用户的行为，根据行为记录和信任值计算模块修正用户信任值表。

步骤1～4：如图5中的1-4环节，Client通过Kerberos认证获取到票据TGT；

步骤5：Client持TGT访问NameNode节点；

步骤6：NameNode解析服务请求的数据块并进入信任值数据库中读取用户信任值；判断用户信任值，大于阈值且为非危险级用户时发放带时间节点的块令牌，小于阈值或者属于危险级时不发放块令牌。

步骤7：Client行为跟踪模块跟踪持块令牌获取服务的用户，记录相关行为数据，为下一时域t内信任值的计算收集证据。

上述方法采用信任值计算和建立信任值数据库的方法，通过阈值控制块令牌的发放，有助于NameNode节点对Client的细粒度的访问控制，并且Client获取到令牌后进行的操作也影响着自身的信任值。

上述实施例提供的一种访问控制方法和系统，通过信任模型计算出的服务节点信任值可以优化服务节点的调度，采用信任值计算，通过阈值控制块令牌的发放，有助于NameNode节点对用户的细粒度的访问控制，并且用户获取到令牌后进行的操作也影响着自身的信任值，本发明实施例能够提高Hadoop集群系统的安全性。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

本发明实施例通过信任模型计算出的服务节点信任值可以优化服务节点的调度，采用信任值计算，通过用户的信任度信息控制块令牌的发放，有助于NameNode节点对用户的细粒度的访问控制。本发明实施例能够提高Hadoop集群系统的安全性。

Claims

一种访问控制方法，该方法包括：

在接收到用户申请服务的请求后，查询该用户的信任度信息；

在根据查询到的用户的信任度信息判断该用户可信时，查询能够为该用户提供服务的候选服务节点的信任度信息，结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点。
如权利要求1所述的方法，还包括：

在根据查询到的用户的信任度信息判断该用户不可信时，拒绝为所述用户发放访问服务节点的令牌。
如权利要求1所述的方法，还包括：

收集节点的行为数据，根据信任值计算模型和收集到的行为数据计算节点的信任值。
如权利要求3所述的方法，其中：

收集节点的行为数据，根据信任值计算模型和收集到的行为数据计算节点的信任值，包括：

收集当前统计周期内的节点之间评定的本地信任值信息；

对每一个节点，将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均，获得的加权平均值作为所述节点在当前统计周期内的全局信任值；其中，每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值；

在获得所有目标节点在当前统计周期内的全局信任值后，对每一个节点在当前统计周期内的全局信任值进行归一化处理，包括：对任意一个节点，将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和，得到的商作为所述节点在当前统计周期内的归一化全局信任值。
如权利要求3或4所述的方法，还包括：

在确定节点的信任值后，还根据节点的信任值确定节点的安全等级；

其中，所述安全等级为：危险级、一般安全级或高安全级。
如权利要求4所述的方法，其中：

结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点，包括：

根据节点的信任值和资源占用情况对能够提供服务的候选服务节点进行排序，根据排序结果挑选为所述用户提供服务的服务节点。
如权利要求5所述的方法，还包括：

在确定一个或多个服务节点的安全等级为危险级时，限制所述服务节点提供服务。
一种访问控制系统，包括：

节点监测模块，设置为：监测节点之间的通信，将节点之间的信任关系数据上报给信任值计算模块；

信任值计算模块，设置为：计算节点的信任值；

调度及控制模块，设置为：在接收到用户申请服务的请求后，查询该用户的信任度信息，在根据查询到的用户的信任度信息判断该用户可信时，从信任值计算模块查询能够为所述用户提供服务的候选服务节点的信任度信息，结合查询到的候选服务节点的信任度信息为所述用户选择提供服务的服务节点。
如权利要求8所述的系统，其中：

调度及控制模块，还设置为：在根据查询到的信任度信息判断该用户不可信时，拒绝为所述用户发放访问服务节点的令牌。
如权利要求8所述的系统，其中：

信任值计算模块，是设置为：收集到节点的行为数据后，根据信任值计算模型和收集到的行为数据计算节点的信任值。
如权利要求10所述的系统，其中：

信任值计算模块，是设置为：收集到当前统计周期内的节点之间评定的本地信任值信息后，对每一个节点，将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均，获得的加权平均值作为所述节点在当前统计周期内的全局信任值；其中，每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值；

在获得所有目标节点在当前统计周期内的全局信任值后，对每一个节点在当前统计周期内的全局信任值进行归一化处理，包括：对任意一个节点，将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和，得到的商作为所述节点在当前统计周期内的归一化全局信任值。
如权利要求8所述的系统，还包括：

安全等级划分模块，设置为：根据节点的信任值确定节点的安全等级；

其中，所述安全等级为：危险级、一般安全级或高安全级。
如权利要求11所述的系统，其中：

调度及控制模块，是设置为：根据节点的信任值和资源占用情况对能够提供服务的候选服务节点进行排序，根据排序结果挑选为所述用户提供服务的服务节点。
如权利要求12所述的系统，其中：

调度及控制模块，还设置为：在确定一个或多个服务节点的安全等级为危险级时，限制所述服务节点提供服务。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1-7任一项的方法。