主权项 |
一种基于HDFS的云存储访问控制方法,其特征在于该方法包括以下具体步骤:a)、建立云存储系统访问控制模型基于传统的RBAC访问控制模型,将RBAC构建在基于HDFS的云存储访问控制系统中,RBAC中要素包括:主体、角色、客体、权限;使用主体安全标签、客体安全标签来描述主客体,采用权限判定算法实现主体对客体的安全访问,其定义如下:ⅰ)主体安全标签:对于主体来说,每个主体能够拥有多个角色,主体的角色通过一个角色集来描述,它被定义为:<img file="933697dest_path_image002.GIF" wi="258" he="27" /><img file="dest_path_image003.GIF" wi="258" he="27" />;ⅱ)客体安全标签:采用标签集对客体进行标识,每个客体都能够通过一个标签集来描述,它被定义为:<img file="dest_path_image005.GIF" wi="243" he="27" /><img file="dest_path_image006.GIF" wi="243" he="27" />;为了实现灵活的安全访问控制,每个权限P都是由客体的标签以及逻辑运算符号组成的一个中序表达式,其中逻辑运算符号包括与(&&)、或(||)和非(!);在基于HDFS的云存储系统中,所有对象的权限均能够由一个三元组(O ,T ,p)来表示,主体在系统中的访问规则用四元组(S ,O ,T ,p)来表示,其中S指主体,O指客体,T指访问类型,p指逻辑运算符;b)、权限判定算法 权限判定算法能够实现判定主体是否有权限访问客体,权限判定算法的定义:ⅰ)权限判定算法:权限表达式是一个由不同标签和逻辑运算符号组成的中序表达式,依据权限判定算法判定主体是否有权限访问客体,该算法分为三个步骤:Step 1:分解中序权限表达式并规范化该表达式;Step 2:根据Step 1的结果,将中序表达式转变为后序表达式;Step 3:根据对象的标签集TagSet,规范化Step 2中的表达式,计算权限表达式的值,若为true,则可以授权访问,否则不可以授权访问;c)、基于共享组实现数据共享在云存储管理系统中,一个文件或者文件夹与其拥有者相关联,并且该文件或者文件夹关联了用户的访问权限,如果用户A要实现与用户B的数据共享,用户A需要创建一个共享组G,将用户A以及用户A对数据的权限关联到组G,同样,用户A需要邀请B关联到组G,通过采用LDAP目录获取组,从而通过组映射服务来确定主体的组列表;d)、建立基于HDFS云存储系统安全控制模型建立基于HDFS云存储系统的访问控制模型,该云存储系统以主/从分布式架构为基础,它包括一个NameNode和多个DataNode,将安全控制模块建立为基于HDFS云存储系统的核心,为了能够判断主体是否有权限访问客体,安全控制模块需要获得主体安全标签和客体安全标签,这些信息被储存在NameNode上,在NameNode的服务器端,用户请求访问的数据,安全访问控制模块授权用户访问并指定数据在DataNode的位置;为了保证数据的安全性,云存储平台采用HDFS的数据传输加密,通过将属性dfs.encrypt.data.transfer设置为true,能够实现数据传输加密,其他的相关属性均需要在配置文件core‑site.xml中设置。 |