一種基于Kerberos和HDFS的數(shù)據(jù)存儲(chǔ)平臺(tái)訪問(wèn)控制策略

王又立++王晶

摘要：重點(diǎn)關(guān)注云存儲(chǔ)在訪問(wèn)安全性和隱私安全性上的兩個(gè)問(wèn)題，設(shè)計(jì)面向多租戶的安全數(shù)據(jù)存儲(chǔ)機(jī)制和用戶訪問(wèn)控制機(jī)制，并結(jié)合企業(yè)實(shí)際需求，向租戶提供安全、按需、實(shí)時(shí)和可擴(kuò)展的存儲(chǔ)服務(wù)?；贙erberos的多租戶訪問(wèn)控制策略將提升云存儲(chǔ)平臺(tái)的安全性，簡(jiǎn)化HDFS權(quán)限管理的復(fù)雜度，提高云存儲(chǔ)平臺(tái)權(quán)限管理的交互性能。

關(guān)鍵詞：HDFS；數(shù)據(jù)存儲(chǔ)平臺(tái)；訪問(wèn)控制策略

中圖分類(lèi)號(hào)：TP391.41

文獻(xiàn)標(biāo)識(shí)碼：A

DOI： 10.3969/j.issn.1003-6970.2016.01.016

0 引言

Eole平臺(tái)是自主研發(fā)的，基于Hadoop構(gòu)建，具有數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、訪問(wèn)控制、權(quán)限管理、資源隔離和資源調(diào)度等多種功能的云端大數(shù)據(jù)存儲(chǔ)與處理平臺(tái)，可以為中小型企業(yè)或者企業(yè)內(nèi)部提供云端的數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)計(jì)算，并保證不同租戶數(shù)據(jù)的安全性。在保證安全性時(shí)，有兩點(diǎn)問(wèn)題尤其值得關(guān)注：第一，企業(yè)及個(gè)人存儲(chǔ)在平臺(tái)上的數(shù)據(jù)是不允許公司內(nèi)部其它部門(mén)或其它地域的用戶訪問(wèn)的，更加不能被同平臺(tái)的租戶竊取和篡改；第二，租戶的敏感信息如果在平臺(tái)上明文存儲(chǔ)，則平臺(tái)管理員完全有可能監(jiān)守自盜，造成租戶敏感信息的泄。

EOLE云存儲(chǔ)平臺(tái)作為一種多租戶的數(shù)據(jù)存儲(chǔ)平臺(tái)，在給企業(yè)帶來(lái)收益的同時(shí)，也需要對(duì)其數(shù)據(jù)的安全性提供保障。中小型企業(yè)利用EOLE云存儲(chǔ)平臺(tái)來(lái)存放企業(yè)內(nèi)部數(shù)據(jù)，則要求這些數(shù)據(jù)不能夠被公司內(nèi)部其它部門(mén)或其它地域的用戶訪問(wèn)，更加不能被同平臺(tái)的租戶竊取和篡改。因而，實(shí)現(xiàn)多租戶訪問(wèn)控制是構(gòu)建云存儲(chǔ)平臺(tái)亟待解決的重要問(wèn)題之一。

基于此，本文基于Kerberos和HDFS （HadoopDistribute File System）的特點(diǎn)，結(jié)合了基于角色的訪問(wèn)控制策略的基本思想和其它一些用戶屬性，提出了一種面向多租戶的訪問(wèn)控制策略。首先介紹一下存儲(chǔ)平臺(tái)的整體設(shè)計(jì)，包括訪問(wèn)控制策略與各個(gè)子模塊之間的關(guān)系；然后重點(diǎn)介紹多租戶訪問(wèn)控制策略，最后對(duì)加上訪問(wèn)控制之后的存儲(chǔ)平臺(tái)進(jìn)行了相關(guān)測(cè)試。

1 相關(guān)工作

目前，針對(duì)云存儲(chǔ)環(huán)境中多租戶數(shù)據(jù)安全問(wèn)題，人們多數(shù)采用的是傳統(tǒng)的訪問(wèn)控制策略。例如：Amazon S3僅提供訪問(wèn)控制列表（Access ControlList，以下稱(chēng)ACL）和bucket來(lái)進(jìn)行訪問(wèn)控制，Amazon彈性云僅僅是在用戶客戶端通過(guò)SOAP overHTTPS加密協(xié)議來(lái)保證客戶端與遠(yuǎn)端連接的安全性， PCS2.5 （ParaScale Cloud Storage）也僅提供可擴(kuò)展的數(shù)據(jù)加密功能來(lái)加密處理拷貝和遷移過(guò)程中的數(shù)據(jù)。這些策略都十分簡(jiǎn)單，基本上沒(méi)有進(jìn)行訪問(wèn)控制。

其實(shí)，傳統(tǒng)的訪問(wèn)控制模型已經(jīng)不能滿足新型的云計(jì)算架構(gòu)要求，以傳統(tǒng)的RBAC為例，云中的主體和客體的定義發(fā)生了很多變化，云計(jì)算中出現(xiàn)了以多租戶為核心、大數(shù)據(jù)為基礎(chǔ)的服務(wù)模式，所以在云計(jì)算的訪問(wèn)控制要對(duì)主體和客體的有關(guān)概念重新界定，這就導(dǎo)致了傳統(tǒng)的訪問(wèn)控制模型要進(jìn)行優(yōu)化和更新，使其更適用于云計(jì)算環(huán)境。我國(guó)研究人員沈晴霓于2011年在著作中提出了一種面向多租戶的訪問(wèn)控制策略，其定義了主客體的安全標(biāo)簽，并由此生成角色樹(shù)，再根據(jù)權(quán)限公式來(lái)進(jìn)行訪問(wèn)控制。這個(gè)方法安全性雖然很高，普適性較好，但是沒(méi)有利用HDFS本身所具有的一些特性，實(shí)現(xiàn)起來(lái)對(duì)以HDFS為基礎(chǔ)的存儲(chǔ)平臺(tái)性能影響很大。

本文則基于HDFS自身提供的Kerberos的身份驗(yàn)證機(jī)制，以及在資源訪問(wèn)控制方面的ACL，設(shè)計(jì)一個(gè)以RBAC為基礎(chǔ)的靈活的，可以按需定制的訪問(wèn)控制策略，主要?jiǎng)?chuàng)新點(diǎn)在于利用安全標(biāo)簽來(lái)建設(shè)層級(jí)目錄，充分利用HDFS已有的數(shù)據(jù)，不需要額外記錄數(shù)據(jù)的權(quán)限。同時(shí)，權(quán)限劃分可根據(jù)企業(yè)需求定制，分享數(shù)據(jù)有時(shí)效性保證，足以保證不同租戶之間資源的強(qiáng)隔離性，租戶內(nèi)部各個(gè)部門(mén)之間的適度隔離性。

2 平臺(tái)總體設(shè)計(jì)

2.1 總體架構(gòu)

數(shù)據(jù)平臺(tái)總體架構(gòu)如圖1所示。該存儲(chǔ)平臺(tái)基于HDFS構(gòu)建，充分利用了HDFS低成本高效率的優(yōu)點(diǎn)。目前，HDFS存在兩個(gè)問(wèn)題：第一，在管理用戶及其權(quán)限時(shí)操作仍然復(fù)雜，交互性差，不夠便捷；第二，在訪問(wèn)控制方面，用戶權(quán)限管理粒度較低，權(quán)限劃分比較簡(jiǎn)單。針對(duì)這兩個(gè)問(wèn)題，在用戶和數(shù)據(jù)層之間加入了一層數(shù)據(jù)存儲(chǔ)平臺(tái)。該平臺(tái)向上可提供統(tǒng)一的安全的數(shù)據(jù)訪問(wèn)服務(wù)，向下可將數(shù)據(jù)進(jìn)行統(tǒng)一的管理。在該平臺(tái)的結(jié)構(gòu)中，所有數(shù)據(jù)訪問(wèn)操作都要經(jīng)過(guò)安全保證模塊保證安全，而該模塊的核心則是訪問(wèn)控制模塊。權(quán)限管理和用戶管理中對(duì)用戶和角色的權(quán)限定義決定了訪問(wèn)控制中對(duì)用戶進(jìn)行的訪問(wèn)控制策略，基于這些策略，用戶可以在平臺(tái)上存儲(chǔ)數(shù)據(jù)，操作數(shù)據(jù)，分享數(shù)據(jù)。

3 訪問(wèn)控制策略

3.1 策略設(shè)計(jì)原則

靈活性：由于各個(gè)企業(yè)對(duì)存儲(chǔ)平臺(tái)提出的不同程度的安全需求，本文提出的訪問(wèn)控制策略應(yīng)當(dāng)安全而靈活，企業(yè)可以根據(jù)自身的需求定制靈活的安全策略，保證其自身的數(shù)據(jù)存儲(chǔ)安全。

層次性：本文提出的安全策略雖然既適用于個(gè)人用戶，也適用于企業(yè)用戶，但主要面向企業(yè)用戶進(jìn)行設(shè)計(jì)?；谄髽I(yè)組織結(jié)構(gòu)的層次性，角色的定義和用戶的權(quán)限分配上都將體現(xiàn)這種層次性的特性。

高效性：本文提出的安全策略是在HDFS提供的安全策略的基礎(chǔ)上，面向多租戶的場(chǎng)景提出的一種補(bǔ)充性策略，因此對(duì)HDFS提供的數(shù)據(jù)存儲(chǔ)服務(wù)的性能影響不宜過(guò)大，力求做到無(wú)影響。

3.2 策略描述

存儲(chǔ)平臺(tái)作為多租戶共享的一個(gè)平臺(tái)，需要靈活的區(qū)分和支持不同企業(yè)在安全方面上的不同需求。為此，本文提出的訪問(wèn)控制策略以RBAC （Role BasedAccess Control）策略為基礎(chǔ)，同時(shí)以HDFS文件路徑作為角色映射的一種方式，讓企業(yè)自定義安全屬性標(biāo)簽，根據(jù)標(biāo)簽建立相應(yīng)存儲(chǔ)路徑和用戶角色，保證企業(yè)間和企業(yè)內(nèi)部不同部門(mén)之間數(shù)據(jù)的隔離性。同時(shí)，以用戶角色和訪問(wèn)有效時(shí)長(zhǎng)等安全屬性組合作為數(shù)據(jù)訪問(wèn)的條件，保證數(shù)據(jù)訪問(wèn)的共享性和安全性。

3.2.1 角色定義與建立

1.企業(yè)自定義安全屬性標(biāo)簽。企業(yè)在以唯一的租戶名注冊(cè)成為平臺(tái)用戶之后，企業(yè)租戶可以根據(jù)自己企業(yè)的自身情況，從平臺(tái)提供的企業(yè)組織標(biāo)簽中挑選合適的標(biāo)簽，可選的標(biāo)簽有：中心，部門(mén)，項(xiàng)目組。其中，部門(mén)可下設(shè)子部門(mén)，項(xiàng)目組和下設(shè)子項(xiàng)目組。

2.層次化建立工作空間和角色標(biāo)簽。平臺(tái)將在用戶提交其企業(yè)組織結(jié)構(gòu)之后，自動(dòng)為企業(yè)創(chuàng)建存儲(chǔ)工作空間以及要求企業(yè)提供各個(gè)工作空間負(fù)責(zé)人。由于企業(yè)組織結(jié)構(gòu)具有層次化的特點(diǎn)，因此每個(gè)角色都有特定的標(biāo)簽作為標(biāo)記。例如：某個(gè)用戶屬于某個(gè)企業(yè)的某個(gè)中心下某個(gè)部門(mén)的某個(gè)項(xiàng)目組下，則該用戶的角色標(biāo)簽中就包括了企業(yè)名稱(chēng)，中心名稱(chēng)，部門(mén)名稱(chēng)以及項(xiàng)目組的名稱(chēng)，而該用戶有權(quán)限能訪問(wèn)的工作空間也隨之確定，即該企業(yè)某中心下某部門(mén)的某項(xiàng)目組所有的工作空間。

3.2.2 角色與用戶權(quán)限的對(duì)應(yīng)關(guān)系

本文定義的角色概念是脫離于用戶和用戶組的一個(gè)邏輯上的概念，是具有某一特征的用戶的集合，而這個(gè)特征則可以用定義的安全屬性標(biāo)簽來(lái)進(jìn)行描述。在平臺(tái)的訪問(wèn)控制策略中，用戶大致被分為如下幾種角色：

系統(tǒng)管理員：該角色擁有管理整個(gè)系統(tǒng)所有租戶的權(quán)限，可以根據(jù)企業(yè)需求為企業(yè)各級(jí)工作空間設(shè)定工作空間管理員。但是該角色無(wú)權(quán)查看租戶的數(shù)據(jù)信息，也不可以改變自己的角色。

工作空間管理員：該角色由系統(tǒng)管理員根據(jù)企業(yè)用戶的需求而指定，在該工作空間內(nèi)擁有最高權(quán)限。可以在其所管轄的工作空間下添加用戶，并為用戶賦予權(quán)限；可以查看該工作空間內(nèi)所有用戶的權(quán)限，并對(duì)該空間內(nèi)用戶的權(quán)限進(jìn)行修改。

普通用戶：該角色是由工作空間管理員加入到工作空間內(nèi)的用戶?？梢圆樵冏约涸谠摴ぷ骺臻g內(nèi)的權(quán)限，但無(wú)法修改自己的訪問(wèn)權(quán)限。

與每個(gè)角色對(duì)應(yīng)一種固定權(quán)限的劃分不同，本文提出了一種角色與權(quán)限相分離，但又有一定映射關(guān)系的訪問(wèn)控制策略。一方面，角色可以根據(jù)標(biāo)簽確定，則如果需要共享數(shù)據(jù)，那么只需要臨時(shí)增加角色的標(biāo)簽，并在訪問(wèn)控制時(shí)檢查時(shí)間戳和時(shí)效性標(biāo)記即可，避免了角色與權(quán)限的一一對(duì)應(yīng)關(guān)系，數(shù)據(jù)分享變得簡(jiǎn)單而易于實(shí)現(xiàn)；另一方面，角色和權(quán)限在宏觀上保持著一定的聯(lián)系，可以保證企業(yè)間，企業(yè)內(nèi)部各個(gè)部門(mén)和各個(gè)組織層級(jí)之間數(shù)據(jù)的適度隔離。

3.2.3 訪問(wèn)控制流程

用戶訪問(wèn)存儲(chǔ)平臺(tái)時(shí)的訪問(wèn)控制流程如圖2所示。

第一步，客戶端需向平臺(tái)發(fā)送用戶名username，密碼passwd，訪問(wèn)路徑path_0（因有可能是加密后的路徑，故為path_0）以及對(duì)訪問(wèn)路徑進(jìn)行的操作operation，之后Eole平臺(tái)先驗(yàn)證其Eole用戶的合法性，如果不合法，則直接拒絕訪問(wèn)；若合法，則返回用戶相對(duì)KDC的principal。

第二步，Eole平臺(tái)向KDC發(fā)送用戶的principal和密碼（與Eole平臺(tái)密碼相一致），驗(yàn)證該用戶的合法性，并獲得用戶的票據(jù)，臨時(shí)存儲(chǔ)在本地，并設(shè)置好票據(jù)的訪問(wèn)權(quán)限。

第三步，Eole平臺(tái)持票據(jù)向HDFS發(fā)起訪問(wèn)，需提供票據(jù)，解密后的路徑以及對(duì)路徑進(jìn)行的操作，訪問(wèn)成功則返回?cái)?shù)據(jù)，否則返回訪問(wèn)失敗的信息。此處因返回的數(shù)據(jù)有可能是加密過(guò)的，所以要在Eole平臺(tái)上進(jìn)行解密并將數(shù)據(jù)返回給客戶端。

4 系統(tǒng)測(cè)試

平臺(tái)實(shí)驗(yàn)環(huán)境為14臺(tái)裝載了Linux系統(tǒng)的計(jì)算機(jī)上面搭建的Hadoop集群，Hadoop的版本為2.4.5，機(jī)器硬件環(huán)境為：內(nèi)存4G，CPU主頻3.OMHz，3TB硬盤(pán)。為了測(cè)試訪問(wèn)控制策略對(duì)HDFS性能的影響，測(cè)試過(guò)程中數(shù)據(jù)集均沒(méi)有加密。

4.1 安全性測(cè)試

在存儲(chǔ)平臺(tái)上設(shè)置了兩個(gè)企業(yè)：EBUPT和NEOTEL。二者定義的安全標(biāo)簽如表1所示，NEOTEL和EBUPT雖然有相同的部門(mén)標(biāo)簽和項(xiàng)目組標(biāo)簽，但由于企業(yè)標(biāo)簽的不同，數(shù)據(jù)存儲(chǔ)的時(shí)候會(huì)映射到不同的路徑上。我們?cè)O(shè)置Jack為NEOTEL銷(xiāo)售部華東組組長(zhǎng)，Marry為EBUPT銷(xiāo)售部華東組組長(zhǎng)，Apple是NEOTEL開(kāi)發(fā)部Eole項(xiàng)目組組長(zhǎng)，Bill是NEOTEL開(kāi)發(fā)部經(jīng)理。

4.1.1 企業(yè)間數(shù)據(jù)隔離測(cè)試

測(cè)試結(jié)果表明：Jack不能訪問(wèn)屬于不同企業(yè)的用戶Marry的文件，反之亦然。在Jack使用存儲(chǔ)平臺(tái)時(shí)，EBUPT的文件路徑對(duì)其是不可見(jiàn)的，因此，該訪問(wèn)控制策略保證了企業(yè)之間數(shù)據(jù)的強(qiáng)隔離性，用戶的每一次訪問(wèn)都會(huì)進(jìn)行嚴(yán)格的權(quán)限驗(yàn)證，嚴(yán)格限制了一個(gè)企業(yè)用戶對(duì)其他企業(yè)用戶進(jìn)行數(shù)據(jù)訪問(wèn)的企圖。

4.1.2 企業(yè)內(nèi)部門(mén)間隔離測(cè)試

測(cè)試結(jié)果表明：Apple不能訪問(wèn)屬于不同部門(mén)的用戶Jack的文件，反之亦然。Apple無(wú)法看到Jack組的文件路徑，當(dāng)兩個(gè)部門(mén)之間需要共享材料時(shí)，可以臨時(shí)將用戶Apple加入Jack組中某文件路徑的訪問(wèn)列表中，然后設(shè)定有效時(shí)長(zhǎng)，過(guò)期后則Apple權(quán)限失效，并從該文件路徑的訪問(wèn)列表中刪除用戶Apple。由此可見(jiàn)，該訪問(wèn)控制策略對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行了靈活的數(shù)據(jù)隔離，滿足了企業(yè)各角色之間各自的訪問(wèn)控制安全需求。

4.1.3 企業(yè)內(nèi)各層級(jí)之間隔離測(cè)試

測(cè)試結(jié)果表明：只有文件在NEOTEL的開(kāi)發(fā)部路徑下時(shí)，Bill才可以對(duì)其進(jìn)行讀寫(xiě)操作。而作為開(kāi)發(fā)部Eole組的文件路徑雖然在開(kāi)發(fā)部路徑下，Bill對(duì)Eole組文件路徑下的文件僅具有讀權(quán)限。Apple作為開(kāi)發(fā)部Eole組組長(zhǎng)，擁有對(duì)Eole組文件路徑下所有數(shù)據(jù)的讀寫(xiě)權(quán)限，但對(duì)開(kāi)發(fā)部其他部門(mén)的文件無(wú)讀權(quán)限。由此可見(jiàn)，該訪問(wèn)控制策略對(duì)企業(yè)內(nèi)部各層級(jí)之間的數(shù)據(jù)進(jìn)行了一定程度的數(shù)據(jù)隔離，從垂直方向上滿足了企業(yè)各角色之間各自的訪問(wèn)控制安全需求。

4.2 性能測(cè)試

在存儲(chǔ)平臺(tái)上，選取不同規(guī)模的幾個(gè)數(shù)據(jù)集，進(jìn)行了兩組測(cè)試。一組測(cè)試直接在HDFS集群上進(jìn)行數(shù)據(jù)操作，而另一組測(cè)試則在數(shù)據(jù)存儲(chǔ)平臺(tái)上記性數(shù)據(jù)操作，測(cè)試方式為進(jìn)行多組試驗(yàn)后取平均值，結(jié)果如圖3所示。

從圖3中可知，在數(shù)據(jù)量較低時(shí)，數(shù)據(jù)存儲(chǔ)平臺(tái)的效率確實(shí)不如HDFS集群，但是差別很?。?0s以內(nèi)），這個(gè)時(shí)間主要消耗在數(shù)據(jù)傳送和用戶權(quán)限驗(yàn)證上，且這個(gè)時(shí)間不會(huì)隨著數(shù)據(jù)量的增大而變化，因此在數(shù)據(jù)量較大時(shí)，兩者的運(yùn)行效率幾乎一樣。然而由于我們的實(shí)驗(yàn)條件所限，并沒(méi)有對(duì)更大規(guī)模的數(shù)據(jù)進(jìn)行測(cè)試，但由理論分析可知，影響效率的因素與數(shù)據(jù)量大小是無(wú)關(guān)的。由此可以證明，該訪問(wèn)控制策略對(duì)數(shù)據(jù)存儲(chǔ)平臺(tái)性能的影響是滿足需求的。

5 結(jié)論

基于Kerberos的多租戶訪問(wèn)控制策略將提升云存儲(chǔ)平臺(tái)的安全性，簡(jiǎn)化HDFS權(quán)限管理的復(fù)雜度，提高云存儲(chǔ)平臺(tái)權(quán)限管理的交互性能。該策略充分利用了HDFS和Kerberos安全驗(yàn)證的特點(diǎn)，盡量輕量化加于HDFS上的權(quán)限驗(yàn)證工作。經(jīng)過(guò)測(cè)試，證明本文提出的訪問(wèn)控制策略既保證了數(shù)據(jù)操作的高效率，也保證了數(shù)據(jù)的安全訪問(wèn)。然而由于測(cè)試條件有限，沒(méi)有對(duì)P級(jí)數(shù)據(jù)進(jìn)行進(jìn)一步的測(cè)試，僅從理論上證明了可行性。