一種基于Kerberos和HDFS的數據存儲平臺訪問控制策略

王又立++王晶

摘要：重點關注云存儲在訪問安全性和隱私安全性上的兩個問題，設計面向多租戶的安全數據存儲機制和用戶訪問控制機制，并結合企業實際需求，向租戶提供安全、按需、實時和可擴展的存儲服務?；贙erberos的多租戶訪問控制策略將提升云存儲平臺的安全性，簡化HDFS權限管理的復雜度，提高云存儲平臺權限管理的交互性能。

關鍵詞：HDFS；數據存儲平臺；訪問控制策略

中圖分類號：TP391.41

文獻標識碼：A

DOI： 10.3969/j.issn.1003-6970.2016.01.016

0 引言

Eole平臺是自主研發的，基于Hadoop構建，具有數據存儲、數據處理、訪問控制、權限管理、資源隔離和資源調度等多種功能的云端大數據存儲與處理平臺，可以為中小型企業或者企業內部提供云端的數據存儲與數據計算，并保證不同租戶數據的安全性。在保證安全性時，有兩點問題尤其值得關注：第一，企業及個人存儲在平臺上的數據是不允許公司內部其它部門或其它地域的用戶訪問的，更加不能被同平臺的租戶竊取和篡改；第二，租戶的敏感信息如果在平臺上明文存儲，則平臺管理員完全有可能監守自盜，造成租戶敏感信息的泄。

EOLE云存儲平臺作為一種多租戶的數據存儲平臺，在給企業帶來收益的同時，也需要對其數據的安全性提供保障。中小型企業利用EOLE云存儲平臺來存放企業內部數據，則要求這些數據不能夠被公司內部其它部門或其它地域的用戶訪問，更加不能被同平臺的租戶竊取和篡改。因而，實現多租戶訪問控制是構建云存儲平臺亟待解決的重要問題之一。

基于此，本文基于Kerberos和HDFS （HadoopDistribute File System）的特點，結合了基于角色的訪問控制策略的基本思想和其它一些用戶屬性，提出了一種面向多租戶的訪問控制策略。首先介紹一下存儲平臺的整體設計，包括訪問控制策略與各個子模塊之間的關系；然后重點介紹多租戶訪問控制策略，最后對加上訪問控制之后的存儲平臺進行了相關測試。

1 相關工作

目前，針對云存儲環境中多租戶數據安全問題，人們多數采用的是傳統的訪問控制策略。例如：Amazon S3僅提供訪問控制列表（Access ControlList，以下稱ACL）和bucket來進行訪問控制，Amazon彈性云僅僅是在用戶客戶端通過SOAP overHTTPS加密協議來保證客戶端與遠端連接的安全性， PCS2.5 （ParaScale Cloud Storage）也僅提供可擴展的數據加密功能來加密處理拷貝和遷移過程中的數據。這些策略都十分簡單，基本上沒有進行訪問控制。

其實，傳統的訪問控制模型已經不能滿足新型的云計算架構要求，以傳統的RBAC為例，云中的主體和客體的定義發生了很多變化，云計算中出現了以多租戶為核心、大數據為基礎的服務模式，所以在云計算的訪問控制要對主體和客體的有關概念重新界定，這就導致了傳統的訪問控制模型要進行優化和更新，使其更適用于云計算環境。我國研究人員沈晴霓于2011年在著作中提出了一種面向多租戶的訪問控制策略，其定義了主客體的安全標簽，并由此生成角色樹，再根據權限公式來進行訪問控制。這個方法安全性雖然很高，普適性較好，但是沒有利用HDFS本身所具有的一些特性，實現起來對以HDFS為基礎的存儲平臺性能影響很大。

本文則基于HDFS自身提供的Kerberos的身份驗證機制，以及在資源訪問控制方面的ACL，設計一個以RBAC為基礎的靈活的，可以按需定制的訪問控制策略，主要創新點在于利用安全標簽來建設層級目錄，充分利用HDFS已有的數據，不需要額外記錄數據的權限。同時，權限劃分可根據企業需求定制，分享數據有時效性保證，足以保證不同租戶之間資源的強隔離性，租戶內部各個部門之間的適度隔離性。

2 平臺總體設計

2.1 總體架構

數據平臺總體架構如圖1所示。該存儲平臺基于HDFS構建，充分利用了HDFS低成本高效率的優點。目前，HDFS存在兩個問題：第一，在管理用戶及其權限時操作仍然復雜，交互性差，不夠便捷；第二，在訪問控制方面，用戶權限管理粒度較低，權限劃分比較簡單。針對這兩個問題，在用戶和數據層之間加入了一層數據存儲平臺。該平臺向上可提供統一的安全的數據訪問服務，向下可將數據進行統一的管理。在該平臺的結構中，所有數據訪問操作都要經過安全保證模塊保證安全，而該模塊的核心則是訪問控制模塊。權限管理和用戶管理中對用戶和角色的權限定義決定了訪問控制中對用戶進行的訪問控制策略，基于這些策略，用戶可以在平臺上存儲數據，操作數據，分享數據。

3 訪問控制策略

3.1 策略設計原則

靈活性：由于各個企業對存儲平臺提出的不同程度的安全需求，本文提出的訪問控制策略應當安全而靈活，企業可以根據自身的需求定制靈活的安全策略，保證其自身的數據存儲安全。

層次性：本文提出的安全策略雖然既適用于個人用戶，也適用于企業用戶，但主要面向企業用戶進行設計?；谄髽I組織結構的層次性，角色的定義和用戶的權限分配上都將體現這種層次性的特性。

高效性：本文提出的安全策略是在HDFS提供的安全策略的基礎上，面向多租戶的場景提出的一種補充性策略，因此對HDFS提供的數據存儲服務的性能影響不宜過大，力求做到無影響。

3.2 策略描述

存儲平臺作為多租戶共享的一個平臺，需要靈活的區分和支持不同企業在安全方面上的不同需求。為此，本文提出的訪問控制策略以RBAC （Role BasedAccess Control）策略為基礎，同時以HDFS文件路徑作為角色映射的一種方式，讓企業自定義安全屬性標簽，根據標簽建立相應存儲路徑和用戶角色，保證企業間和企業內部不同部門之間數據的隔離性。同時，以用戶角色和訪問有效時長等安全屬性組合作為數據訪問的條件，保證數據訪問的共享性和安全性。

3.2.1 角色定義與建立

1.企業自定義安全屬性標簽。企業在以唯一的租戶名注冊成為平臺用戶之后，企業租戶可以根據自己企業的自身情況，從平臺提供的企業組織標簽中挑選合適的標簽，可選的標簽有：中心，部門，項目組。其中，部門可下設子部門，項目組和下設子項目組。

2.層次化建立工作空間和角色標簽。平臺將在用戶提交其企業組織結構之后，自動為企業創建存儲工作空間以及要求企業提供各個工作空間負責人。由于企業組織結構具有層次化的特點，因此每個角色都有特定的標簽作為標記。例如：某個用戶屬于某個企業的某個中心下某個部門的某個項目組下，則該用戶的角色標簽中就包括了企業名稱，中心名稱，部門名稱以及項目組的名稱，而該用戶有權限能訪問的工作空間也隨之確定，即該企業某中心下某部門的某項目組所有的工作空間。

3.2.2 角色與用戶權限的對應關系

本文定義的角色概念是脫離于用戶和用戶組的一個邏輯上的概念，是具有某一特征的用戶的集合，而這個特征則可以用定義的安全屬性標簽來進行描述。在平臺的訪問控制策略中，用戶大致被分為如下幾種角色：

系統管理員：該角色擁有管理整個系統所有租戶的權限，可以根據企業需求為企業各級工作空間設定工作空間管理員。但是該角色無權查看租戶的數據信息，也不可以改變自己的角色。

工作空間管理員：該角色由系統管理員根據企業用戶的需求而指定，在該工作空間內擁有最高權限?？梢栽谄渌茌牭墓ぷ骺臻g下添加用戶，并為用戶賦予權限；可以查看該工作空間內所有用戶的權限，并對該空間內用戶的權限進行修改。

普通用戶：該角色是由工作空間管理員加入到工作空間內的用戶。可以查詢自己在該工作空間內的權限，但無法修改自己的訪問權限。

與每個角色對應一種固定權限的劃分不同，本文提出了一種角色與權限相分離，但又有一定映射關系的訪問控制策略。一方面，角色可以根據標簽確定，則如果需要共享數據，那么只需要臨時增加角色的標簽，并在訪問控制時檢查時間戳和時效性標記即可，避免了角色與權限的一一對應關系，數據分享變得簡單而易于實現；另一方面，角色和權限在宏觀上保持著一定的聯系，可以保證企業間，企業內部各個部門和各個組織層級之間數據的適度隔離。

3.2.3 訪問控制流程

用戶訪問存儲平臺時的訪問控制流程如圖2所示。

第一步，客戶端需向平臺發送用戶名username，密碼passwd，訪問路徑path_0（因有可能是加密后的路徑，故為path_0）以及對訪問路徑進行的操作operation，之后Eole平臺先驗證其Eole用戶的合法性，如果不合法，則直接拒絕訪問；若合法，則返回用戶相對KDC的principal。

第二步，Eole平臺向KDC發送用戶的principal和密碼（與Eole平臺密碼相一致），驗證該用戶的合法性，并獲得用戶的票據，臨時存儲在本地，并設置好票據的訪問權限。

第三步，Eole平臺持票據向HDFS發起訪問，需提供票據，解密后的路徑以及對路徑進行的操作，訪問成功則返回數據，否則返回訪問失敗的信息。此處因返回的數據有可能是加密過的，所以要在Eole平臺上進行解密并將數據返回給客戶端。

4 系統測試

平臺實驗環境為14臺裝載了Linux系統的計算機上面搭建的Hadoop集群，Hadoop的版本為2.4.5，機器硬件環境為：內存4G，CPU主頻3.OMHz，3TB硬盤。為了測試訪問控制策略對HDFS性能的影響，測試過程中數據集均沒有加密。

4.1 安全性測試

在存儲平臺上設置了兩個企業：EBUPT和NEOTEL。二者定義的安全標簽如表1所示，NEOTEL和EBUPT雖然有相同的部門標簽和項目組標簽，但由于企業標簽的不同，數據存儲的時候會映射到不同的路徑上。我們設置Jack為NEOTEL銷售部華東組組長，Marry為EBUPT銷售部華東組組長，Apple是NEOTEL開發部Eole項目組組長，Bill是NEOTEL開發部經理。

4.1.1 企業間數據隔離測試

測試結果表明：Jack不能訪問屬于不同企業的用戶Marry的文件，反之亦然。在Jack使用存儲平臺時，EBUPT的文件路徑對其是不可見的，因此，該訪問控制策略保證了企業之間數據的強隔離性，用戶的每一次訪問都會進行嚴格的權限驗證，嚴格限制了一個企業用戶對其他企業用戶進行數據訪問的企圖。

4.1.2 企業內部門間隔離測試

測試結果表明：Apple不能訪問屬于不同部門的用戶Jack的文件，反之亦然。Apple無法看到Jack組的文件路徑，當兩個部門之間需要共享材料時，可以臨時將用戶Apple加入Jack組中某文件路徑的訪問列表中，然后設定有效時長，過期后則Apple權限失效，并從該文件路徑的訪問列表中刪除用戶Apple。由此可見，該訪問控制策略對企業內部數據進行了靈活的數據隔離，滿足了企業各角色之間各自的訪問控制安全需求。

4.1.3 企業內各層級之間隔離測試

測試結果表明：只有文件在NEOTEL的開發部路徑下時，Bill才可以對其進行讀寫操作。而作為開發部Eole組的文件路徑雖然在開發部路徑下，Bill對Eole組文件路徑下的文件僅具有讀權限。Apple作為開發部Eole組組長，擁有對Eole組文件路徑下所有數據的讀寫權限，但對開發部其他部門的文件無讀權限。由此可見，該訪問控制策略對企業內部各層級之間的數據進行了一定程度的數據隔離，從垂直方向上滿足了企業各角色之間各自的訪問控制安全需求。

4.2 性能測試

在存儲平臺上，選取不同規模的幾個數據集，進行了兩組測試。一組測試直接在HDFS集群上進行數據操作，而另一組測試則在數據存儲平臺上記性數據操作，測試方式為進行多組試驗后取平均值，結果如圖3所示。

從圖3中可知，在數據量較低時，數據存儲平臺的效率確實不如HDFS集群，但是差別很?。?0s以內），這個時間主要消耗在數據傳送和用戶權限驗證上，且這個時間不會隨著數據量的增大而變化，因此在數據量較大時，兩者的運行效率幾乎一樣。然而由于我們的實驗條件所限，并沒有對更大規模的數據進行測試，但由理論分析可知，影響效率的因素與數據量大小是無關的。由此可以證明，該訪問控制策略對數據存儲平臺性能的影響是滿足需求的。

5 結論

基于Kerberos的多租戶訪問控制策略將提升云存儲平臺的安全性，簡化HDFS權限管理的復雜度，提高云存儲平臺權限管理的交互性能。該策略充分利用了HDFS和Kerberos安全驗證的特點，盡量輕量化加于HDFS上的權限驗證工作。經過測試，證明本文提出的訪問控制策略既保證了數據操作的高效率，也保證了數據的安全訪問。然而由于測試條件有限，沒有對P級數據進行進一步的測試，僅從理論上證明了可行性。