动车组全生命周期数据集成平台安全防护技术的研究

发布时间：2020-02-11 04:31

【摘要】：目前,我国已经进入互联网大数据时代,Hadoop等大数据平台也被广泛的运用在各领域之中。随着大数据平台的推广应用,平台的安全问题越来越受到重视,特别是在企业大数据之中,安全问题更是重中之重。动车组全生命周期数据集成平台是一个基于Hadoop集群、包含了多个服务组件的数据监控平台,其通过大数据分析技术对海量的列车制造敏感数据进行监控,保证了动车组制造过程中的安全生产。然而目前Hadoop平台的安全认证机制尚存在缺陷,集成平台中服务组件的授权也比较零散、不易管理,因此,深化数据集成平台的安全认证技术研究、构建平台中各服务组件的统一授权管理与审计体系,保证平台运行时稳定性与可靠性显得尤为重要。针对动车组全生命周期数据集成平台的安全防护技术进行研究,本文提出了基于CA的安全认证设计方案,同时实现对各组件的统一授权管理与授权审计。本文的主要研究工作有以下几点:(1)通过对Hadoop集群现有的安全机制以及集群中各组件安全机制的研究,在动车组全生命周期数据集成平台的安全认证方面提出了采用基于CA认证中心的安全认证方案,该方案在安全性与运行效率上得到了很大的提升;同时为保证数据在传输中的安全性,采用了对称加密的方式进行数据安全传输。(2)结合项目需求,基于Ranger开源组件实现了细颗粒度的授权功能以及对HDFS、HBase以及Hive等其他组件的授权进行统一的管理;安全管理人员通过制定授权策略,对HBase、Hive等其他组件可以进行细颗粒到列、字段的服务授权以及统一授权管理。(3)在构建统一的授权管理的基础上,为保证授权的安全性,对用户访问服务资源、安全管理人员对授权策略的操作等进行安全审计,保证了授权的合法性与可靠性。
【图文】：

体系结构图,体系结构,票据,会话密钥

图２－１邋Ｋｅｒｂｅｒｏｓ体系结构逡逑Ｆｉｇｕｒｅ邋２－１邋Ｋｅｒｂｅｒｏｓ邋ａｒｃｈｉｔｅｃｔｕｒｅ逡逑（１）ＫＤＣ邋（密钥分发中心）：它是整个认证系统的核心部分，主要包含认证服务逡逑（ＡＳ）和票据授予服务器（ＴＧＳ）。其中的数据库储存了整个认证系统中的所有逡逑的身份信息以及密钥信息。其中：逡逑１）认证服务器ＡＳ：对用户进行初始认证，通过认证后，认证服务器为用逡逑户产生的会话密钥（Ｓｅｓｓｉｏｎ邋Ｋｅｙ）以及票据授权票据（Ｔｉｃｋｅｔ邋Ｇｒａｎｔｉｎｇ邋Ｔｉｃｋｅｔ，逡逑ＴＧＴ），之后再把会话密钥和ＴＧＴ—起发送给请求认证的用户，认证用户与票逡逑据授权服务器之间的通信则通过使用会话密钥进行加密，其中的ＴＧＴ作为用逡逑户访问票据授权服务器的票据凭证。逡逑２）票据授权服务器ＴＧＳ：当用户通过ＡＳ认证后，该服务器会为该用户生逡逑成服务票据（Ｓｅｒｖｉｃｅ邋Ｔｉｃｋｅｔ，ＳＴ）和会话密钥（Ｓｅｓｓｉｏｎ邋Ｋｅｙ），并将邋Ｓｅｓｓｉｏｎ邋Ｋｅｙ逡逑和ＳＴ发送给认证用户，用户与应用服务器之间的通信消息使用会话密钥进行逡逑加密，ＳＴ作为用户访问应用服务器请求应用的凭证。逡逑２ｌｉｅｎｔ：ＡＳ，ＴＧＳ逡逑

总体结构,证书,认证中心

Ａ，全。为此，ＰＫＩ提供了三种作废证书的策略［２２］：对某一对密钥签发的所有证逡逑行作废；对一个或者多个主体的证书进行作废；对某一个认证中心所签发的逡逑证书作废。逡逑（５）ＰＫＩ应用接口系统：该系统是实现ＰＫＩ各种应用的接口程序，通过这些接逡逑序用户便可以很方便的使用各种安全服务，比如加密、数字签名等。相关的逡逑组件也可以与ＰＫＩ进行安全、可信、一致的交互，确保了服务所在网络环境逡逑信性、安全性和易用性，，同时也降低了管理和维护成本。逡逑．２认证中心ＣＡ逡逑认证中心ＣＡ［２￣是ＰＫＩ系统的核心组成部分，具有签发和管理数字证书，为用逡逑发支持各种应用的证书，同时对这些证书进行集中的管理等核心功能。认证逡逑一般由五部分组成［２５］：安全服务器、注册中心、认证服务器、目录服务器以逡逑据库服务器，如图２－３所示。逡逑
【学位授予单位】：北京交通大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：U266;TP309

【参考文献】