一种适用于Hadoop云平台的访问控制方案

摘要
图/表
参考文献
相关文章
Metrics

全文: PDF(1150 KB) HTML
输出: BibTeX | EndNote (RIS) 背景资料

文章导读

摘要

分析了Hadoop云计算平台的安全需求,设计了一种基于身份的Capability (ID-CAP), 并提出了一种基于ID-CAP的Hadoop访问控制方案。方案设计采用了最小授权原则,实现了基于Capability的访问控制,使用户在Hadoop平台上提交的作业能以最小权限运行。实验结果表明: 基于Capability的访问控制机制能有效实现在Hadoop平台上实施最小授权原则,支持平台内部相互依赖的各模块之间的身份认证,有效提高Hadoop平台的系统安全性和稳定性。

	服务

	把本文推荐给朋友
	加入引用管理器
	E-mail Alert
	RSS

	作者相关文章
	王志华
	庞海波
	李占波

关键词 ：访问控制, 权能, Hadoop, 云计算, 最小授权原则

Abstract：

An identity-based capability (ID-CAP) method is given to provide secure access control to Hadoop cloud computing platforms. The capability-based access control design follows the least privilege principle with the platform running tenant jobs using a least privilege set. Tests show that the capability-based access control can be efficiently implemented to support mutual authentication between different servers in a Hadoop platform while satisfying the least privilege requirement to improve platform security and stability.

Key words： access control capability Hadoop cloud computing the least-privilege principle

收稿日期: 2013-12-01 出版日期: 2014-01-15

ZTFLH:

基金资助:河南省自然科学基金资助项目 (2011B520036);河南省基础与前沿技术研究资助项目 (142300410226)

引用本文:

王志华, 庞海波, 李占波. 一种适用于Hadoop云平台的访问控制方案[J]. 清华大学学报（自然科学版）, 2014, 54(1): 53-59.
Zhihua WANG, Haibo PANG, Zhanbo LI. Access control for Hadoop-based cloud computing. Journal of Tsinghua University(Science and Technology), 2014, 54(1): 53-59.

链接本文:

http://jst.tsinghuajournals.com/CN/ 或 http://jst.tsinghuajournals.com/CN/Y2014/V54/I1/53

符合及其解释

提交一个MapReduce作业

作业进程访问HDFS

HDFS读写测试

排序测试

MapReduce连续性测试

[1]	Lampson B K. Protection [J]. Operating Systems Review, 1974, 8(1): 18-24.
[2]	Snyder L. Formal models of capability-based protection systems[J]. IEEE Transactions on Computers, 1981, 30(3): 172-181.
[3]	Kain R Y, Landwehr C E. On access checking in capability-based systems[J]. IEEE Transactions on Software Engineering, 1987, SE13(2): 95-101.
[4]	Karger P A. Improving security and performance for capability systems [D]. London, UK: University of Cambridge, 1988.
[5]	Gong L. A secure identity-based capability system [C]// Proceedings of the 1989 IEEE Symposium on. Security and Privacy. Oakland, USA: IEEE Computer Society Press, 1989: 56-63.
[6]	Boebert W E. On the inability of an unmodified capability machine to enforce the property [C]// Proceedings of the 7th DoD/NBS Computer Security Conference. Gaithersburg, USA: National Bureau of Standards, 1984: 291-293.
[7]	Landwehr C E. Formal models for computer security[J]. ACM Computing Surveys, 1981, 13(3): 247-278.
[8]	Lampson B W. A note on the confinement problem[J]. Communications of the ACM on Operation Systems, 1973, 16(10): 613-615.

[1]	曹来成, 李运涛, 吴蓉, 郭显, 冯涛. 多密钥隐私保护决策树评估方案[J]. 清华大学学报（自然科学版）, 2022, 62(5): 862-870.
[2]	李清, 樊一萍, 李大川, 蒋欣, 刘恩钰, 陈甲. 基于微服务的飞行管理系统仿真：体系与方法[J]. 清华大学学报（自然科学版）, 2020, 60(7): 589-596.
[3]	王开, 刘荣华, 魏加华, 刘启, 王光谦. 水力模拟云平台HydroMP的模型集成方法[J]. 清华大学学报（自然科学版）, 2019, 59(12): 1006-1015.
[4]	李陶深, 刘青, 黄汝维. 云环境中基于代理重加密的多用户全同态加密方案[J]. 清华大学学报（自然科学版）, 2018, 58(2): 143-149.
[5]	刘金钊, 周悦芝, 张尧学. 基于小波分析的云计算在线业务异常负载检测方法[J]. 清华大学学报（自然科学版）, 2017, 57(5): 550-554.
[6]	李瑜, 赵勇, 郭晓栋, 刘国乐. 全系统一体的访问控制保障模型[J]. 清华大学学报（自然科学版）, 2017, 57(4): 432-436.
[7]	王于丁, 杨家海. 一种基于角色和属性的云计算数据访问控制模型[J]. 清华大学学报（自然科学版）, 2017, 57(11): 1150-1158.
[8]	刘扬, 魏蔚. 面向海量流媒体信道资源分配快速Nash议价算法[J]. 清华大学学报（自然科学版）, 2017, 57(10): 1056-1062.
[9]	田文洪, 李国忠, 陈瑜, 黄超杰, 杨吴同. 一种兼顾负载均衡的Hadoop集群动态节能方法[J]. 清华大学学报（自然科学版）, 2016, 56(11): 1226-1231.
[10]	刘荣华, 魏加华, 翁燕章, 王光谦, 唐爽. HydroMP:基于云计算的水动力学建模及计算服务平台[J]. 清华大学学报（自然科学版）, 2014, 54(5): 575-583.

Viewed

Full text

Abstract

Cited

Shared

Discussed