海洋环境信息云平台用户访问控制策略研究

发布时间：2019-10-10 17:30

【摘要】：国家海洋局为了整合现有海洋环境信息系统，消除信息孤岛，为大型海洋研究项目提供绿色高效的信息服务，打算采用最新的云计算技术搭建海洋环境信息云平台。然而，安全问题已经成为制约云平台在海洋环境信息应用关键因素。海洋信息不同于其他的公开性质的数据，是我国的重要的战略资源信息，其中会涉及到很多敏感信息，一旦泄露会引起重大的损失。本文主要研究解决云平台中的用户访问控制问题。海洋环境云平台是一个多域、多级别的综合性云平台，包含的数据的安全级别多。包括一般性的温度场、盐度场观测数据，也包括关系到国家战略安全的绝密海洋观测数据。同时，受海洋观测的特殊条件限制，这些数据通常来自于不同的部门和观测站，因此海洋环境云平台还要能够保证多个域之间信息共享。海洋云平台的用户来自于不同的研究机构，用户类型多，现有的分布式访问控制模型由于角色单一、主体权限不能跨域访问资源等问题现在已经很难适应云计算环境的安全需求。基于以上需求本文提出一种多级的跨域角色访问控制模型，利用角色映射机制实现跨域跨级的访问控制问题。跨域角色访问控制模型不但能够保证不同域之间用户访问资源的控制，同时，域间的角色映射可以将前端用户与云平台用户的权责分离，不用为每一位前端用户在云平台上创建一个对应的用户，能够有效地降低平台用户的管理难度。为了验证构造的海洋环境信息云平台的访问控制模型的可用性及其效率，构建了海洋云平台系统，该系统初步实现了对海洋环境敏感信息的安全访问控制，避免了云平台自身设计缺陷带来的信息泄露的安全隐患。我们对该示范系统的测试结果表明：基于角色映射的访问控制方式能够使我们的海洋环境信息云平台安全性能得到了较大的提高，并且能够为户提供对不同类型与不同层次的信息资源的细粒度访问控制，在保证海洋环境信息安全与保密的同时，能够向各类用户提供高效的信息资源服务
【图文】：

体系结构图,体系结构

图 2-1 Hadoop 体系结构2 Hadoop 安全体系Hadoop 平台在最初的几个版本并没有安全认证机制，默认登录到平台是合法用户，存在很大的安全隐患。并且对服务器节点的身份也没有认查看存储在 HDFS 上的文件并不需要认证，很容易导致信息泄露。Hadoop 的研发代码贡献者认识到了这一安全设计上的缺陷，成立了专团队，设计和实现 Hadoop 的安全认证和安全授权体系[23]。在 Hadoo后逐渐加入了 ACL 访问控制机制进和身份认证机制。.1 基于 ACL 的访问控制机制

层次结构图,层次结构,属性,通信权

图 2-2ACL 层次结构ice Level Authorization 有 9 个可配置的属性，，每个属性可指定拥有的用户或者用户组。这 9 个 ACL 属性如表 2-1：表 2-1 ACL 属性表属性含义lient.protocol.acl 用于控制访问 HDFS 的权限lient.datanode.protocol.acl 主要用于 block 的修复atanode.protocol.acl 用于控制 datanode 和 namenode 的通信权限控制ter.datanode.protocol.acl 用于 datanode 之间更新 timestapamenode.protocol.acl 用于 second namenode 和 namenode 之间的通信ter.tracker.protocol.acl 用于 tasktrack 和 jobtracker 之间的通信b.submission.protocol.acl 用于控制提交作业，查询作业状态等权限
【学位授予单位】：中国海洋大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：P714

【参考文献】