Please wait a minute...
 首页  期刊介绍 期刊订阅 联系我们 横山亮次奖 百年刊庆
 
最新录用  |  预出版  |  当期目录  |  过刊浏览  |  阅读排行  |  下载排行  |  引用排行  |  横山亮次奖  |  百年刊庆
清华大学学报(自然科学版)  2014, Vol. 54 Issue (1): 53-59    
  论文 本期目录 | 过刊浏览 | 高级检索 |
一种适用于Hadoop云平台的访问控制方案
王志华(),庞海波,李占波
 
Access control for Hadoop-based cloud computing
Zhihua WANG(),Haibo PANG,Zhanbo LI
Software Technology School, Zhengzhou University, Zhengzhou 450002, China
全文: PDF(1150 KB)   HTML
输出: BibTeX | EndNote (RIS)       背景资料
文章导读  
摘要 

分析了Hadoop云计算平台的安全需求,设计了一种基于身份的Capability (ID-CAP), 并提出了一种基于ID-CAP的Hadoop访问控制方案。方案设计采用了最小授权原则,实现了基于Capability的访问控制,使用户在Hadoop平台上提交的作业能以最小权限运行。实验结果表明: 基于Capability的访问控制机制能有效实现在Hadoop平台上实施最小授权原则,支持平台内部相互依赖的各模块之间的身份认证,有效提高Hadoop平台的系统安全性和稳定性。

服务
把本文推荐给朋友
加入引用管理器
E-mail Alert
RSS
作者相关文章
王志华
庞海波
李占波
关键词 访问控制权能Hadoop云计算最小授权原则    
Abstract

An identity-based capability (ID-CAP) method is given to provide secure access control to Hadoop cloud computing platforms. The capability-based access control design follows the least privilege principle with the platform running tenant jobs using a least privilege set. Tests show that the capability-based access control can be efficiently implemented to support mutual authentication between different servers in a Hadoop platform while satisfying the least privilege requirement to improve platform security and stability.

Key wordsaccess control    capability    Hadoop    cloud computing    the least-privilege principle
收稿日期: 2013-12-01      出版日期: 2015-04-16
ZTFLH:     
基金资助:河南省自然科学基金资助项目 (2011B520036);河南省基础与前沿技术研究资助项目 (142300410226)
引用本文:   
王志华, 庞海波, 李占波. 一种适用于Hadoop云平台的访问控制方案[J]. 清华大学学报(自然科学版), 2014, 54(1): 53-59.
Zhihua WANG, Haibo PANG, Zhanbo LI. Access control for Hadoop-based cloud computing. Journal of Tsinghua University(Science and Technology), 2014, 54(1): 53-59.
链接本文:  
http://jst.tsinghuajournals.com/CN/  或          http://jst.tsinghuajournals.com/CN/Y2014/V54/I1/53
符号 解释
PermListW 一个MapReduce作业所需要的访问权限列表
ExpTime 过期时间
PK Hadoop平台内部CA公钥
SK Hadoop平台内部CA私钥
PKJ MapReduce作业所使用的公钥
SKJ MapReduce作业所使用的私钥
ID-CAPJ MapReduce作业的capability
<msg>SK 由私钥SK签名的消息
  符合及其解释
  提交一个MapReduce作业
  作业进程访问HDFS
方案类型 操作类型 ThroughputMB·s-1 Average IO rateMB·s-1
原生Hadoop Read 39.82 42.02
Write 18.82 19.23
ID-CAP based Read 39.17 41.43
Write 18.02 18.38
  HDFS读写测试
测试目标 原生
Hadoop/s
ID-CAP based
Hadoop/s
生产随机数据MapReduce
(map: 90, reduce: 0)
877 880
排序MapReduce
(map: 720, reduce: 48)
5 655 5 663
排序正确性检查MapReduce
(map: 138, reduce: 1)
865 867
  排序测试
测试次数 原生Hadoop
AvgTime/μs
ID-CAP based Hadoop
AvgTime/μs
numRuns=100 31 413 33 047
  MapReduce连续性测试
[1] Lampson B K. Protection [J]. Operating Systems Review, 1974, 8(1): 18-24.
[2] Snyder L. Formal models of capability-based protection systems[J]. IEEE Transactions on Computers, 1981, 30(3): 172-181.
[3] Kain R Y, Landwehr C E. On access checking in capability-based systems[J]. IEEE Transactions on Software Engineering, 1987, SE13(2): 95-101.
[4] Karger P A. Improving security and performance for capability systems [D]. London, UK: University of Cambridge, 1988.
[5] Gong L. A secure identity-based capability system [C]// Proceedings of the 1989 IEEE Symposium on. Security and Privacy. Oakland, USA: IEEE Computer Society Press, 1989: 56-63.
[6] Boebert W E. On the inability of an unmodified capability machine to enforce the property [C]// Proceedings of the 7th DoD/NBS Computer Security Conference. Gaithersburg, USA: National Bureau of Standards, 1984: 291-293.
[7] Landwehr C E. Formal models for computer security[J]. ACM Computing Surveys, 1981, 13(3): 247-278.
[8] Lampson B W. A note on the confinement problem[J]. Communications of the ACM on Operation Systems, 1973, 16(10): 613-615.
[1] 李陶深, 刘青, 黄汝维. 云环境中基于代理重加密的多用户全同态加密方案[J]. 清华大学学报(自然科学版), 2018, 58(2): 143-149.
[2] 刘金钊, 周悦芝, 张尧学. 基于小波分析的云计算在线业务异常负载检测方法[J]. 清华大学学报(自然科学版), 2017, 57(5): 550-554.
[3] 李瑜, 赵勇, 郭晓栋, 刘国乐. 全系统一体的访问控制保障模型[J]. 清华大学学报(自然科学版), 2017, 57(4): 432-436.
[4] 王于丁, 杨家海. 一种基于角色和属性的云计算数据访问控制模型[J]. 清华大学学报(自然科学版), 2017, 57(11): 1150-1158.
[5] 刘扬, 魏蔚. 面向海量流媒体信道资源分配快速Nash议价算法[J]. 清华大学学报(自然科学版), 2017, 57(10): 1056-1062.
[6] 田文洪, 李国忠, 陈瑜, 黄超杰, 杨吴同. 一种兼顾负载均衡的Hadoop集群动态节能方法[J]. 清华大学学报(自然科学版), 2016, 56(11): 1226-1231.
[7] 刘荣华, 魏加华, 翁燕章, 王光谦, 唐爽. HydroMP:基于云计算的水动力学建模及计算服务平台[J]. 清华大学学报(自然科学版), 2014, 54(5): 575-583.
Viewed
Full text


Abstract

Cited

  Shared   
  Discussed   
版权所有 © 《清华大学学报(自然科学版)》编辑部
本系统由北京玛格泰克科技发展有限公司设计开发 技术支持:support@magtech.com.cn