【摘要】：目前,我國已經(jīng)進入互聯(lián)網(wǎng)大數(shù)據(jù)時代,Hadoop等大數(shù)據(jù)平臺也被廣泛的運用在各領(lǐng)域之中。隨著大數(shù)據(jù)平臺的推廣應(yīng)用,平臺的安全問題越來越受到重視,特別是在企業(yè)大數(shù)據(jù)之中,安全問題更是重中之重。動車組全生命周期數(shù)據(jù)集成平臺是一個基于Hadoop集群、包含了多個服務(wù)組件的數(shù)據(jù)監(jiān)控平臺,其通過大數(shù)據(jù)分析技術(shù)對海量的列車制造敏感數(shù)據(jù)進行監(jiān)控,保證了動車組制造過程中的安全生產(chǎn)。然而目前Hadoop平臺的安全認(rèn)證機制尚存在缺陷,集成平臺中服務(wù)組件的授權(quán)也比較零散、不易管理,因此,深化數(shù)據(jù)集成平臺的安全認(rèn)證技術(shù)研究、構(gòu)建平臺中各服務(wù)組件的統(tǒng)一授權(quán)管理與審計體系,保證平臺運行時穩(wěn)定性與可靠性顯得尤為重要。針對動車組全生命周期數(shù)據(jù)集成平臺的安全防護技術(shù)進行研究,本文提出了基于CA的安全認(rèn)證設(shè)計方案,同時實現(xiàn)對各組件的統(tǒng)一授權(quán)管理與授權(quán)審計。本文的主要研究工作有以下幾點:(1)通過對Hadoop集群現(xiàn)有的安全機制以及集群中各組件安全機制的研究,在動車組全生命周期數(shù)據(jù)集成平臺的安全認(rèn)證方面提出了采用基于CA認(rèn)證中心的安全認(rèn)證方案,該方案在安全性與運行效率上得到了很大的提升;同時為保證數(shù)據(jù)在傳輸中的安全性,采用了對稱加密的方式進行數(shù)據(jù)安全傳輸。(2)結(jié)合項目需求,基于Ranger開源組件實現(xiàn)了細(xì)顆粒度的授權(quán)功能以及對HDFS、HBase以及Hive等其他組件的授權(quán)進行統(tǒng)一的管理;安全管理人員通過制定授權(quán)策略,對HBase、Hive等其他組件可以進行細(xì)顆粒到列、字段的服務(wù)授權(quán)以及統(tǒng)一授權(quán)管理。(3)在構(gòu)建統(tǒng)一的授權(quán)管理的基礎(chǔ)上,為保證授權(quán)的安全性,對用戶訪問服務(wù)資源、安全管理人員對授權(quán)策略的操作等進行安全審計,保證了授權(quán)的合法性與可靠性。
【圖文】：

圖２－１邋Ｋｅｒｂｅｒｏｓ體系結(jié)構(gòu)逡逑Ｆｉｇｕｒｅ邋２－１邋Ｋｅｒｂｅｒｏｓ邋ａｒｃｈｉｔｅｃｔｕｒｅ逡逑（１）ＫＤＣ邋（密鑰分發(fā)中心）：它是整個認(rèn)證系統(tǒng)的核心部分，主要包含認(rèn)證服務(wù)逡逑（ＡＳ）和票據(jù)授予服務(wù)器（ＴＧＳ）。其中的數(shù)據(jù)庫儲存了整個認(rèn)證系統(tǒng)中的所有逡逑的身份信息以及密鑰信息。其中：逡逑１）認(rèn)證服務(wù)器ＡＳ：對用戶進行初始認(rèn)證，通過認(rèn)證后，認(rèn)證服務(wù)器為用逡逑戶產(chǎn)生的會話密鑰（Ｓｅｓｓｉｏｎ邋Ｋｅｙ）以及票據(jù)授權(quán)票據(jù)（Ｔｉｃｋｅｔ邋Ｇｒａｎｔｉｎｇ邋Ｔｉｃｋｅｔ，逡逑ＴＧＴ），之后再把會話密鑰和ＴＧＴ—起發(fā)送給請求認(rèn)證的用戶，認(rèn)證用戶與票逡逑據(jù)授權(quán)服務(wù)器之間的通信則通過使用會話密鑰進行加密，其中的ＴＧＴ作為用逡逑戶訪問票據(jù)授權(quán)服務(wù)器的票據(jù)憑證。逡逑２）票據(jù)授權(quán)服務(wù)器ＴＧＳ：當(dāng)用戶通過ＡＳ認(rèn)證后，該服務(wù)器會為該用戶生逡逑成服務(wù)票據(jù)（Ｓｅｒｖｉｃｅ邋Ｔｉｃｋｅｔ，ＳＴ）和會話密鑰（Ｓｅｓｓｉｏｎ邋Ｋｅｙ），并將邋Ｓｅｓｓｉｏｎ邋Ｋｅｙ逡逑和ＳＴ發(fā)送給認(rèn)證用戶，用戶與應(yīng)用服務(wù)器之間的通信消息使用會話密鑰進行逡逑加密，ＳＴ作為用戶訪問應(yīng)用服務(wù)器請求應(yīng)用的憑證。逡逑２ｌｉｅｎｔ：ＡＳ，ＴＧＳ逡逑

Ａ，全。為此，ＰＫＩ提供了三種作廢證書的策略［２２］：對某一對密鑰簽發(fā)的所有證逡逑行作廢；對一個或者多個主體的證書進行作廢；對某一個認(rèn)證中心所簽發(fā)的逡逑證書作廢。逡逑（５）ＰＫＩ應(yīng)用接口系統(tǒng)：該系統(tǒng)是實現(xiàn)ＰＫＩ各種應(yīng)用的接口程序，通過這些接逡逑序用戶便可以很方便的使用各種安全服務(wù)，比如加密、數(shù)字簽名等。相關(guān)的逡逑組件也可以與ＰＫＩ進行安全、可信、一致的交互，確保了服務(wù)所在網(wǎng)絡(luò)環(huán)境逡逑信性、安全性和易用性，，同時也降低了管理和維護成本。逡逑．２認(rèn)證中心ＣＡ逡逑認(rèn)證中心ＣＡ［２￣是ＰＫＩ系統(tǒng)的核心組成部分，具有簽發(fā)和管理數(shù)字證書，為用逡逑發(fā)支持各種應(yīng)用的證書，同時對這些證書進行集中的管理等核心功能。認(rèn)證逡逑一般由五部分組成［２５］：安全服務(wù)器、注冊中心、認(rèn)證服務(wù)器、目錄服務(wù)器以逡逑據(jù)庫服務(wù)器，如圖２－３所示。逡逑
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：U266;TP309

【參考文獻】

相關(guān)期刊論文 前10條

1 裴樹軍;張圓緒;婁淑慧;;公鑰加密體系下的HDFS身份認(rèn)證過程改進與實現(xiàn)[J];哈爾濱理工大學(xué)學(xué)報;2016年04期

2 汪健;蔡麗;;一種Hadoop集群限量使用模型[J];電腦知識與技術(shù);2016年13期

3 陳卓;王有春;平佳偉;;基于公鑰基礎(chǔ)設(shè)施的Hadoop安全機制設(shè)計[J];計算機測量與控制;2016年04期

4 史文浩;江國華;秦小麟;王勝;;基于用戶信任值的HDFS訪問控制模型研究[J];計算機科學(xué)與探索;2016年01期

5 王于丁;楊家海;徐聰;凌曉;楊洋;;云計算訪問控制技術(shù)研究綜述[J];軟件學(xué)報;2015年05期

6 朱建波;李萍;于炯;廖彬;;改進的Kerberos協(xié)議在HDFS環(huán)境下的研究[J];計算機工程與設(shè)計;2014年10期

7 曾樂;陳東輝;肖衛(wèi)青;梁中軍;;基于Hadoop的氣象數(shù)據(jù)存儲檢索應(yīng)用研究[J];信息系統(tǒng)工程;2014年08期

8 劉莎;譚良;;Hadoop云平臺中基于信任的訪問控制模型[J];計算機科學(xué);2014年05期

9 朱劭;崔寶江;;基于SAML的Hadoop云計算平臺安全認(rèn)證方法研究[J];信息網(wǎng)絡(luò)安全;2013年12期

10 溫博為;吳振強;張麗娟;;Kerberos協(xié)議在可信平臺下的設(shè)計與實現(xiàn)[J];計算機工程與設(shè)計;2013年06期

相關(guān)碩士學(xué)位論文 前2條

1 繆璐瑤;Hadoop安全機制研究[D];南京郵電大學(xué);2015年

2 林釔霖;基于PKI的身份認(rèn)證系統(tǒng)研究[D];重慶理工大學(xué);2012年

本文編號：2578365