專利名稱:一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及云計算應(yīng)用領(lǐng)域的云存儲安全問題,尤其涉及針對移動云存儲的安全訪問控制技術(shù)。
背景技術(shù):
云存儲是一種由第三方提供的網(wǎng)絡(luò)在線存儲模式的服務(wù),數(shù)據(jù)被存儲在虛擬化的存儲池中。對于云存儲這樣一個擁有海量用戶和海量數(shù)據(jù)的服務(wù)平臺來說,數(shù)據(jù)的安全性需求不言而喻。如何保證用戶在云端存儲的安全性,保證數(shù)據(jù)不被他人竊取,向?qū)儆诓煌M織的不同等級或類別的信息提供隔離和整合的支持成為重要的問題。傳統(tǒng)的安全訪問控制技術(shù)的權(quán)限校驗機制較為復(fù)雜,在校驗時需要不斷地遍歷和遞歸,影響性能。
發(fā)明內(nèi)容
本發(fā)明針對權(quán)限判定方法對權(quán)限校驗機制進行優(yōu)化,通過對權(quán)限表達式進行分析求值,避免了遍歷和遞歸帶來的損耗,大幅提高了系統(tǒng)性能,從而提高了安全訪問控制技術(shù)的易用性和高效性。為了解決現(xiàn)有技術(shù)中的問題,本發(fā)明提供了一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:步驟1:用戶向云存儲平臺發(fā)出云存儲的文件訪問請求;步驟2:中間服務(wù)器載入用戶安全策略配置信息;步驟3:中間服務(wù)器根據(jù)配置信息關(guān)聯(lián)用戶訪問請求,生成權(quán)限表達式;步驟4:中間服務(wù)器使用權(quán)限判定方法對權(quán)限表達式進行求解;步驟5:存儲服務(wù)器根據(jù)表達式求解結(jié)果處理用戶對文件的操作請求。作為本發(fā)明的進一步改進,步驟2具體如下:在系統(tǒng)首次運行時,從數(shù)據(jù)庫或配置文件載入用戶的安全策略配置信息,包括角色信息和權(quán)限信息。 作為本發(fā)明的進一步改進,步驟4中,通過權(quán)限判定方法對表達式進行求值,主要分為以下三步:a、分解并規(guī)范化表達式:將邏輯運算表達式進行規(guī)范化,將運算符、標(biāo)簽、和括號都分離開來,按順序并保存起來;b、將規(guī)范化的表達式轉(zhuǎn)化成逆波蘭表達式;C、將逆波蘭表達式分解并求值:針對上一步生成的逆波蘭表達式,利用棧結(jié)構(gòu)進行分解并求值,若表達式結(jié)果為true,表示有相應(yīng)的訪問權(quán)限,反之則沒有。作為本發(fā)明的進一步改進,操作符的優(yōu)先級順序:!>&&> I I,同等操作符的結(jié)合性從右至左。作為本發(fā)明的進一步改進,步驟I中,用戶從PC端或Android端發(fā)出云存儲的文件訪問請求,PC端實現(xiàn)文件管理系統(tǒng),允許用戶對云端文件的操作,Android端通過移動應(yīng)用實現(xiàn)移動云存儲服務(wù)。
作為本發(fā)明的進一步改進,云存儲平臺由一個名字節(jié)點和兩個數(shù)據(jù)節(jié)點組成,其中名字節(jié)點存儲著整個分布式文件系統(tǒng)的樹目錄和文件元信息,而數(shù)據(jù)節(jié)點是實際存放文件數(shù)據(jù)塊及其副本的地方。作為本發(fā)明的進一步改進,中間服務(wù)器上搭建基于axis2的WebService服務(wù)與手機端進行交互,而后臺運行程序負(fù)責(zé)調(diào)用HDFS APIs與云端進行交互;axis2:實現(xiàn)網(wǎng)絡(luò)服務(wù)的一種技術(shù)架構(gòu),WebService:基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)程序,HDFS APIs:分布式系統(tǒng)的應(yīng)用程序編程接口。作為本發(fā)明的進一步改進,中間服務(wù)器由三個模塊構(gòu)成,第一個是用戶身份校驗?zāi)K,用來驗證合法用戶,并使其關(guān)聯(lián)自己的角色集;第二個是訪問控制策略模塊,在客戶端與云端交互的時候,都要經(jīng)過中間服務(wù)器上安全訪問控制策略進行檢驗,看當(dāng)前用戶是否具有合法的訪問權(quán)限;第三個是云端交互模塊,對客戶端來說是一個訪問云端的接口集。作為本發(fā)明的進一步改進,在中間服務(wù)器上存儲著云端系統(tǒng)用戶的基本信息:用戶名、密碼、角色集。本發(fā)明的技術(shù)方案深入研究了云存儲及其相關(guān)的安全問題,設(shè)計和實現(xiàn)了一種分布式文件系統(tǒng)的安全訪問控制技術(shù)。傳統(tǒng)的安全訪問控制技術(shù)的權(quán)限校驗機制較為復(fù)雜,在校驗時需要不斷地遍歷和遞歸,影響性能。本發(fā)明針對權(quán)限判定方法對權(quán)限校驗機制進行優(yōu)化,通過對權(quán)限表達式進行分析求值,避免了遍歷和遞歸帶來的損耗,大幅提高了系統(tǒng)性能,從而提高了安全訪問控制技術(shù)的易用性和高效性。
圖1是本發(fā)明基于分布式文件系統(tǒng)的移動云存儲安全訪問控制系統(tǒng)架構(gòu)圖;圖2是本發(fā)明中間服務(wù)器實現(xiàn)模塊;圖3是本發(fā)明移動云存儲框架圖;圖4是本發(fā)明一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法流程圖;圖5是本發(fā)明安全訪問控制技術(shù)流程圖結(jié)構(gòu)示意圖。
具體實施例方式下面結(jié)合附圖對本發(fā)明做進一步說明。一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其包括以下步驟:步驟1:用戶從PC端或Android端發(fā)出云存儲的文件訪問請求;步驟2:中間服務(wù)器載入用戶安全策略配置信息;步驟3:中間服務(wù)器根據(jù)配置信息關(guān)聯(lián)用戶訪問請求,生成權(quán)限表達式;步驟4:中間服務(wù)器使用權(quán)限判定方法對權(quán)限表達式進行求解;步驟5:存儲服務(wù)器根據(jù)表達式求解結(jié)果處理用戶對文件的操作請求。具體如下:1、在系統(tǒng)首次運行時,從數(shù)據(jù)庫或配置文件載入所有公司用戶的安全策略配置信息;包括各個公司的角色信息和權(quán)限信息;2、根據(jù)安全策略配置信息生成對應(yīng)的權(quán)限表達式;3、通過權(quán)限判定方法對表達式進行求值,主要分為以下三步:
a、分解并規(guī)范化表達式。將邏輯運算表達式進行規(guī)范化,將運算符、標(biāo)簽、和括號都分離開來,按順序并保存起來。b、將規(guī)范化的表達式轉(zhuǎn)化成逆波蘭表達式(即后綴表達式,將規(guī)范化表達式轉(zhuǎn)化為計算機容易處理的表達式)。這里需要考慮操作符的優(yōu)先級和結(jié)合性。操作符的優(yōu)先級順序:! >&&> I I,同等操作符的結(jié)合性從右至左。C、將逆波蘭表達式分解并求值。針對上一步生成的逆波蘭表達式,利用棧結(jié)構(gòu)進行分解并求值,若表達式結(jié)果為true,表示有相應(yīng)的訪問權(quán)限,反之則沒有。4、根據(jù)權(quán)限判定方法的結(jié)果決定用戶是否對文件擁有對應(yīng)的訪問權(quán)限,若有相應(yīng)權(quán)限,則允許用戶對文件進行相應(yīng)操作,若沒有則阻斷用戶對文件的操作,從而實現(xiàn)安全訪問。系統(tǒng)主要有三部分組成:客戶端應(yīng)用(PC端和Android (移動設(shè)備)端),中間服務(wù)器的安全訪問控制模塊和基于HDFS的云存儲平臺。系統(tǒng)架構(gòu)如圖1。其中基于HDFS的云存儲平臺實現(xiàn)數(shù)據(jù)的集中存儲,部署在集群上;中間服務(wù)的安全訪問控制模塊實現(xiàn)數(shù)據(jù)的安全訪問,檢驗數(shù)據(jù)操作的安全性和合法性;客戶端的實現(xiàn)分為PC和Android端,PC端實現(xiàn)文件管理系統(tǒng),允許用戶對云端文件的操作,Android端通過移動應(yīng)用實現(xiàn)移動云存儲服務(wù)。 基于HDFS的云存儲平臺實現(xiàn)本系統(tǒng)是基于HDFS的云存儲平臺,構(gòu)建于云計算平臺的虛擬機集群上。該平臺由一個名字節(jié)點和兩個數(shù)據(jù)節(jié)點組成,其中名字節(jié)點存儲著整個分布式文件系統(tǒng)的樹目錄和文件元信息,而數(shù)據(jù)節(jié)點是實際存放文件數(shù)據(jù)塊及其副本的地方。本系統(tǒng)選用的是hadoop-0.20.2 (hadoop:分布式系統(tǒng))版本的平臺。中間服務(wù)器的實現(xiàn)中間服務(wù)器是系統(tǒng)的核心部分,主要用來實現(xiàn)本文所設(shè)計的訪問控制安全策略,實現(xiàn)云端的安全訪問控制。此外,中間服務(wù)器上還搭建了基于axis2 (axis2:實現(xiàn)網(wǎng)絡(luò)服務(wù)的一種技術(shù)架構(gòu))的WebService (WebService:基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)程序)服務(wù)與手機端進行交互,而后臺運行程序負(fù)責(zé)調(diào)用HDFS APIs (HDFS APIs:分布式系統(tǒng)的應(yīng)用程序編程接口)與云端進行交互。如圖2所示,中間服務(wù)器由三個模塊構(gòu)成,第一個是用戶身份校驗?zāi)K,用來驗證合法用戶,并使其關(guān)聯(lián)自己的角色集;第二個是訪問控制策略模塊,在客戶端與云端交互的時候,都要經(jīng)過中間服務(wù)器上安全訪問控制策略進行檢驗,看當(dāng)前用戶是否具有合法的訪問權(quán)限;第三個是云端交互模塊,對客戶端來說是一個訪問云端的接口集。在中間服務(wù)器上存儲著云端系統(tǒng)用戶的基本信息(用戶名、密碼、角色集)?;赑C的文件管理應(yīng)用該應(yīng)用是將由HDFS (hadoop:分布式系統(tǒng))搭建的云存儲服務(wù)轉(zhuǎn)換映射到客戶端的文件管理應(yīng)用。該系統(tǒng)應(yīng)用編寫了 PC端的文件管理界面,通過調(diào)用HDFS的API (API:應(yīng)用程序編程接口)接口,將云端存儲的對應(yīng)公司的數(shù)據(jù)樹目錄映射到客戶端。通過安全策略的判定,實現(xiàn)用戶安全的上傳、下載、瀏覽目錄、創(chuàng)建、刪除文件等功能,并實時刷新顯示,從而實現(xiàn)安全的訪問控制。前面已經(jīng)將文件和文件夾的讀寫操作明確定義了,這里瀏覽目錄是讀操作,上傳、下載創(chuàng)建、刪除文件和文件夾功能都是寫操作。
基于Android (移動設(shè)備)的移動云存儲應(yīng)用在Web (網(wǎng)絡(luò))服務(wù)器上運行一個后臺程序,時刻監(jiān)聽Web端的動作。當(dāng)用戶通過手機發(fā)送相關(guān)操作請求時,調(diào)用Webservice (WebService:基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)程序)的相應(yīng)接口,Webservice (WebService:基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)程序)在在其每個接口中通過Socket (套接字:用于描述IP地址和端口,是一個通信鏈的句柄。)與后臺程序保持通訊,并發(fā)送用戶的操作請求,然后后臺程序去調(diào)用HDFS API (HDFS APIs:分布式系統(tǒng)的應(yīng)用程序編程接口)執(zhí)行相應(yīng)的請求并再用Socket (套接字:用于描述IP地址和端口,是一個通信鏈的句柄。)通訊返回操作結(jié)果。Webservice (WebService:基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)程序)再將結(jié)果返回到手機端。通過后臺程序與云端以及Web端的交互,從而實現(xiàn)安全移動云端存儲。以上內(nèi)容是結(jié)合具體的優(yōu)選實施方式對本發(fā)明所作的進一步詳細說明,不能認(rèn)定本發(fā)明的具體實施只局限于這些說明。對于本發(fā)明所屬技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干簡單推演或替換,都應(yīng)當(dāng)視為屬于本發(fā)明的保護范圍。
權(quán)利要求
1.一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于: 步驟1:用戶向云存儲平臺發(fā)出云存儲的文件訪問請求; 步驟2:中間服務(wù)器載入用戶安全策略配置信息; 步驟3:中間服務(wù)器根據(jù)配置信息關(guān)聯(lián)用戶訪問請求,生成權(quán)限表達式; 步驟4:中間服務(wù)器使用權(quán)限判定方法對權(quán)限表達式進行求解; 步驟5:存儲服務(wù)器根據(jù)表達式求解結(jié)果處理用戶對文件的操作請求。
2.根據(jù)權(quán)利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:步驟2具體如下:在系統(tǒng)首次運行時,從數(shù)據(jù)庫或配置文件載入用戶的安全策略配置信息,包括角色信息和權(quán)限信息。
3.根據(jù)權(quán)利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:步驟4中,通過權(quán)限判定方法對表達式進行求值,主要分為以下三步: a、分解并規(guī)范化表達式:將邏輯運算表達式進行規(guī)范化,將運算符、標(biāo)簽、和括號都分離開來,按順序并保存起來; b、將規(guī)范化的表達式轉(zhuǎn)化成逆波蘭表達式; C、將逆波蘭表達式分解并求值:針對上一步生成的逆波蘭表達式,利用棧結(jié)構(gòu)進行分解并求值,若表達式結(jié)果為true,表示有相應(yīng)的訪問權(quán)限,反之則沒有。
4.根據(jù)權(quán)利要求3所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:操作符的優(yōu)先級順序:!>&&>| |,同等操作符的結(jié)合性從右至左。
5.根據(jù)權(quán)利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:步驟I中,用戶從PC端或Android端發(fā)出云存儲的文件訪問請求,PC端實現(xiàn)文件管理系統(tǒng),允許用戶對云端文件的操作,Android端通過移動應(yīng)用實現(xiàn)移動云存儲服務(wù)。
6.根據(jù)權(quán)利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:云存儲平臺由一個名字節(jié)點和兩個數(shù)據(jù)節(jié)點組成,其中名字節(jié)點存儲著整個分布式文件系統(tǒng)的樹目錄和文件元信息,而數(shù)據(jù)節(jié)點是實際存放文件數(shù)據(jù)塊及其副本的地方。
7.根據(jù)權(quán)利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:中間服務(wù)器上搭建基于axis2的WebService服務(wù)與手機端進行交互,而后臺運行程序負(fù)責(zé)調(diào)用HDFS APIs與云端進行交互;axis2:實現(xiàn)網(wǎng)絡(luò)服務(wù)的一種技術(shù)架構(gòu),WebService:基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)程序,HDFS APIs:分布式系統(tǒng)的應(yīng)用程序編程接口。
8.根據(jù)權(quán)利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:中間服務(wù)器由三個模塊構(gòu)成,第一個是用戶身份校驗?zāi)K,用來驗證合法用戶,并使其關(guān)聯(lián)自己的角色集;第二個是訪問控制策略模塊,在客戶端與云端交互的時候,都要經(jīng)過中間服務(wù)器上安全訪問控制策略進行檢驗,看當(dāng)前用戶是否具有合法的訪問權(quán)限;第三個是云端交互模塊,對客戶端來說是一個訪問云端的接口集。
9.根據(jù)權(quán)利要求8所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:在中間服務(wù)器上存儲著云端系統(tǒng)用戶的基本信息:用戶名、密碼、角色集。
全文摘要
本發(fā)明提供了基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,步驟1用戶向云存儲平臺發(fā)出云存儲的文件訪問請求;步驟2中間服務(wù)器載入用戶安全策略配置信息;步驟3中間服務(wù)器根據(jù)配置信息關(guān)聯(lián)用戶訪問請求,生成權(quán)限表達式;步驟4中間服務(wù)器使用權(quán)限判定方法對權(quán)限表達式進行求解;步驟5存儲服務(wù)器根據(jù)表達式求解結(jié)果處理用戶對文件的操作請求。本發(fā)明針對權(quán)限判定方法對權(quán)限校驗機制進行優(yōu)化,通過對權(quán)限表達式進行分析求值,避免了遍歷和遞歸帶來的損耗,大幅提高了系統(tǒng)性能,從而提高了安全訪問控制技術(shù)的易用性和高效性。
文檔編號H04L29/08GK103209189SQ201310139638
公開日2013年7月17日 申請日期2013年4月22日 優(yōu)先權(quán)日2013年4月22日
發(fā)明者王軒, 黃偉, 張加佳, 趙海楠, 李曄, 于成龍, 陳悅晨 申請人:哈爾濱工業(yè)大學(xué)深圳研究生院