專利名稱:一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法
技術領域:
本發(fā)明涉及云計算應用領域的云存儲安全問題,尤其涉及針對移動云存儲的安全訪問控制技術�。
背景技術:
云存儲是一種由第三方提供的網絡在線存儲模式的服務,數(shù)據被存儲在虛擬化的存儲池中。對于云存儲這樣一個擁有海量用戶和海量數(shù)據的服務平臺來說���,數(shù)據的安全性需求不言而喻��。如何保證用戶在云端存儲的安全性���,保證數(shù)據不被他人竊取,向屬于不同組織的不同等級或類別的信息提供隔離和整合的支持成為重要的問題����。傳統(tǒng)的安全訪問控制技術的權限校驗機制較為復雜,在校驗時需要不斷地遍歷和遞歸��,影響性能���。
發(fā)明內容
本發(fā)明針對權限判定方法對權限校驗機制進行優(yōu)化�,通過對權限表達式進行分析求值�����,避免了遍歷和遞歸帶來的損耗���,大幅提高了系統(tǒng)性能,從而提高了安全訪問控制技術的易用性和高效性。為了解決現(xiàn)有技術中的問題�����,本發(fā)明提供了一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法�����,其特征在于:步驟1:用戶向云存儲平臺發(fā)出云存儲的文件訪問請求����;步驟2:中間服務器載入用戶安全策略配置信息;步驟3:中間服務器根據配置信息關聯(lián)用戶訪問請求��,生成權限表達式����;步驟4:中間服務器使用權限判定方法對權限表達式進行求解;步驟5:存儲服務器根據表達式求解結果處理用戶對文件的操作請求���。作為本發(fā)明的進一步改進�����,步驟2具體如下:在系統(tǒng)首次運行時����,從數(shù)據庫或配置文件載入用戶的安全策略配置信息,包括角色信息和權限信息�����。 作為本發(fā)明的進一步改進����,步驟4中,通過權限判定方法對表達式進行求值�,主要分為以下三步:a、分解并規(guī)范化表達式:將邏輯運算表達式進行規(guī)范化����,將運算符、標簽�、和括號都分離開來,按順序并保存起來�;b、將規(guī)范化的表達式轉化成逆波蘭表達式�����;C�、將逆波蘭表達式分解并求值:針對上一步生成的逆波蘭表達式,利用棧結構進行分解并求值�����,若表達式結果為true�,表示有相應的訪問權限,反之則沒有�����。作為本發(fā)明的進一步改進��,操作符的優(yōu)先級順序:�����!>&&> I I�,同等操作符的結合性從右至左。作為本發(fā)明的進一步改進,步驟I中����,用戶從PC端或Android端發(fā)出云存儲的文件訪問請求,PC端實現(xiàn)文件管理系統(tǒng),允許用戶對云端文件的操作��,Android端通過移動應用實現(xiàn)移動云存儲服務����。
作為本發(fā)明的進一步改進����,云存儲平臺由一個名字節(jié)點和兩個數(shù)據節(jié)點組成�����,其中名字節(jié)點存儲著整個分布式文件系統(tǒng)的樹目錄和文件元信息��,而數(shù)據節(jié)點是實際存放文件數(shù)據塊及其副本的地方�����。作為本發(fā)明的進一步改進�,中間服務器上搭建基于axis2的WebService服務與手機端進行交互,而后臺運行程序負責調用HDFS APIs與云端進行交互�;axis2:實現(xiàn)網絡服務的一種技術架構,WebService:基于互聯(lián)網的網絡服務程序��,HDFS APIs:分布式系統(tǒng)的應用程序編程接口����。作為本發(fā)明的進一步改進,中間服務器由三個模塊構成�����,第一個是用戶身份校驗模塊��,用來驗證合法用戶��,并使其關聯(lián)自己的角色集���;第二個是訪問控制策略模塊����,在客戶端與云端交互的時候���,都要經過中間服務器上安全訪問控制策略進行檢驗����,看當前用戶是否具有合法的訪問權限��;第三個是云端交互模塊�����,對客戶端來說是一個訪問云端的接口集����。作為本發(fā)明的進一步改進���,在中間服務器上存儲著云端系統(tǒng)用戶的基本信息:用戶名、密碼�、角色集。本發(fā)明的技術方案深入研究了云存儲及其相關的安全問題��,設計和實現(xiàn)了一種分布式文件系統(tǒng)的安全訪問控制技術�����。傳統(tǒng)的安全訪問控制技術的權限校驗機制較為復雜�,在校驗時需要不斷地遍歷和遞歸,影響性能�。本發(fā)明針對權限判定方法對權限校驗機制進行優(yōu)化,通過對權限表達式進行分析求值���,避免了遍歷和遞歸帶來的損耗�����,大幅提高了系統(tǒng)性能����,從而提高了安全訪問控制技術的易用性和高效性。
圖1是本發(fā)明基于分布式文件系統(tǒng)的移動云存儲安全訪問控制系統(tǒng)架構圖�����;圖2是本發(fā)明中間服務器實現(xiàn)模塊�;圖3是本發(fā)明移動云存儲框架圖;圖4是本發(fā)明一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法流程圖����;圖5是本發(fā)明安全訪問控制技術流程圖結構示意圖���。
具體實施例方式下面結合附圖對本發(fā)明做進一步說明��。一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法����,其包括以下步驟:步驟1:用戶從PC端或Android端發(fā)出云存儲的文件訪問請求����;步驟2:中間服務器載入用戶安全策略配置信息;步驟3:中間服務器根據配置信息關聯(lián)用戶訪問請求�,生成權限表達式;步驟4:中間服務器使用權限判定方法對權限表達式進行求解;步驟5:存儲服務器根據表達式求解結果處理用戶對文件的操作請求��。具體如下:1����、在系統(tǒng)首次運行時,從數(shù)據庫或配置文件載入所有公司用戶的安全策略配置信息�����;包括各個公司的角色信息和權限信息���;2�����、根據安全策略配置信息生成對應的權限表達式�����;3����、通過權限判定方法對表達式進行求值�����,主要分為以下三步:
a、分解并規(guī)范化表達式��。將邏輯運算表達式進行規(guī)范化���,將運算符�����、標簽����、和括號都分離開來�,按順序并保存起來�����。b��、將規(guī)范化的表達式轉化成逆波蘭表達式(即后綴表達式�,將規(guī)范化表達式轉化為計算機容易處理的表達式)。這里需要考慮操作符的優(yōu)先級和結合性����。操作符的優(yōu)先級順序:! >&&> I I�,同等操作符的結合性從右至左�����。C�、將逆波蘭表達式分解并求值。針對上一步生成的逆波蘭表達式��,利用棧結構進行分解并求值��,若表達式結果為true���,表示有相應的訪問權限��,反之則沒有���。4、根據權限判定方法的結果決定用戶是否對文件擁有對應的訪問權限���,若有相應權限�����,則允許用戶對文件進行相應操作�����,若沒有則阻斷用戶對文件的操作�����,從而實現(xiàn)安全訪問���。系統(tǒng)主要有三部分組成:客戶端應用(PC端和Android (移動設備)端)���,中間服務器的安全訪問控制模塊和基于HDFS的云存儲平臺。系統(tǒng)架構如圖1�。其中基于HDFS的云存儲平臺實現(xiàn)數(shù)據的集中存儲,部署在集群上���;中間服務的安全訪問控制模塊實現(xiàn)數(shù)據的安全訪問,檢驗數(shù)據操作的安全性和合法性����;客戶端的實現(xiàn)分為PC和Android端,PC端實現(xiàn)文件管理系統(tǒng)��,允許用戶對云端文件的操作,Android端通過移動應用實現(xiàn)移動云存儲服務�����。 基于HDFS的云存儲平臺實現(xiàn)本系統(tǒng)是基于HDFS的云存儲平臺�,構建于云計算平臺的虛擬機集群上。該平臺由一個名字節(jié)點和兩個數(shù)據節(jié)點組成����,其中名字節(jié)點存儲著整個分布式文件系統(tǒng)的樹目錄和文件元信息,而數(shù)據節(jié)點是實際存放文件數(shù)據塊及其副本的地方�。本系統(tǒng)選用的是hadoop-0.20.2 (hadoop:分布式系統(tǒng))版本的平臺。中間服務器的實現(xiàn)中間服務器是系統(tǒng)的核心部分�,主要用來實現(xiàn)本文所設計的訪問控制安全策略,實現(xiàn)云端的安全訪問控制�����。此外���,中間服務器上還搭建了基于axis2 (axis2:實現(xiàn)網絡服務的一種技術架構)的WebService (WebService:基于互聯(lián)網的網絡服務程序)服務與手機端進行交互�,而后臺運行程序負責調用HDFS APIs (HDFS APIs:分布式系統(tǒng)的應用程序編程接口)與云端進行交互����。如圖2所示�,中間服務器由三個模塊構成�,第一個是用戶身份校驗模塊,用來驗證合法用戶����,并使其關聯(lián)自己的角色集;第二個是訪問控制策略模塊�����,在客戶端與云端交互的時候����,都要經過中間服務器上安全訪問控制策略進行檢驗,看當前用戶是否具有合法的訪問權限�����;第三個是云端交互模塊�,對客戶端來說是一個訪問云端的接口集。在中間服務器上存儲著云端系統(tǒng)用戶的基本信息(用戶名�����、密碼��、角色集)���?��;赑C的文件管理應用該應用是將由HDFS (hadoop:分布式系統(tǒng))搭建的云存儲服務轉換映射到客戶端的文件管理應用。該系統(tǒng)應用編寫了 PC端的文件管理界面�,通過調用HDFS的API (API:應用程序編程接口)接口,將云端存儲的對應公司的數(shù)據樹目錄映射到客戶端��。通過安全策略的判定�����,實現(xiàn)用戶安全的上傳�����、下載���、瀏覽目錄�����、創(chuàng)建��、刪除文件等功能���,并實時刷新顯示��,從而實現(xiàn)安全的訪問控制�����。前面已經將文件和文件夾的讀寫操作明確定義了�����,這里瀏覽目錄是讀操作�,上傳�、下載創(chuàng)建、刪除文件和文件夾功能都是寫操作����。
基于Android (移動設備)的移動云存儲應用在Web (網絡)服務器上運行一個后臺程序,時刻監(jiān)聽Web端的動作���。當用戶通過手機發(fā)送相關操作請求時�,調用Webservice (WebService:基于互聯(lián)網的網絡服務程序)的相應接口,Webservice (WebService:基于互聯(lián)網的網絡服務程序)在在其每個接口中通過Socket (套接字:用于描述IP地址和端口�����,是一個通信鏈的句柄��。)與后臺程序保持通訊����,并發(fā)送用戶的操作請求��,然后后臺程序去調用HDFS API (HDFS APIs:分布式系統(tǒng)的應用程序編程接口)執(zhí)行相應的請求并再用Socket (套接字:用于描述IP地址和端口��,是一個通信鏈的句柄��。)通訊返回操作結果���。Webservice (WebService:基于互聯(lián)網的網絡服務程序)再將結果返回到手機端��。通過后臺程序與云端以及Web端的交互����,從而實現(xiàn)安全移動云端存儲��。以上內容是結合具體的優(yōu)選實施方式對本發(fā)明所作的進一步詳細說明,不能認定本發(fā)明的具體實施只局限于這些說明����。對于本發(fā)明所屬技術領域的普通技術人員來說,在不脫離本發(fā)明構思的前提下����,還可以做出若干簡單推演或替換,都應當視為屬于本發(fā)明的保護范圍�����。
權利要求
1.一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法��,其特征在于: 步驟1:用戶向云存儲平臺發(fā)出云存儲的文件訪問請求����; 步驟2:中間服務器載入用戶安全策略配置信息; 步驟3:中間服務器根據配置信息關聯(lián)用戶訪問請求�����,生成權限表達式��; 步驟4:中間服務器使用權限判定方法對權限表達式進行求解����; 步驟5:存儲服務器根據表達式求解結果處理用戶對文件的操作請求����。
2.根據權利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法�,其特征在于:步驟2具體如下:在系統(tǒng)首次運行時���,從數(shù)據庫或配置文件載入用戶的安全策略配置信息���,包括角色信息和權限信息。
3.根據權利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法��,其特征在于:步驟4中��,通過權限判定方法對表達式進行求值��,主要分為以下三步: a�、分解并規(guī)范化表達式:將邏輯運算表達式進行規(guī)范化,將運算符����、標簽、和括號都分離開來�,按順序并保存起來; b、將規(guī)范化的表達式轉化成逆波蘭表達式��; C���、將逆波蘭表達式分解并求值:針對上一步生成的逆波蘭表達式�,利用棧結構進行分解并求值�,若表達式結果為true,表示有相應的訪問權限�,反之則沒有。
4.根據權利要求3所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法���,其特征在于:操作符的優(yōu)先級順序:�����!>&&>| |���,同等操作符的結合性從右至左。
5.根據權利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法��,其特征在于:步驟I中�,用戶從PC端或Android端發(fā)出云存儲的文件訪問請求,PC端實現(xiàn)文件管理系統(tǒng),允許用戶對云端文件的操作���,Android端通過移動應用實現(xiàn)移動云存儲服務���。
6.根據權利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法��,其特征在于:云存儲平臺由一個名字節(jié)點和兩個數(shù)據節(jié)點組成�����,其中名字節(jié)點存儲著整個分布式文件系統(tǒng)的樹目錄和文件元信息,而數(shù)據節(jié)點是實際存放文件數(shù)據塊及其副本的地方����。
7.根據權利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:中間服務器上搭建基于axis2的WebService服務與手機端進行交互��,而后臺運行程序負責調用HDFS APIs與云端進行交互���;axis2:實現(xiàn)網絡服務的一種技術架構���,WebService:基于互聯(lián)網的網絡服務程序,HDFS APIs:分布式系統(tǒng)的應用程序編程接口�。
8.根據權利要求1所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法,其特征在于:中間服務器由三個模塊構成�,第一個是用戶身份校驗模塊����,用來驗證合法用戶��,并使其關聯(lián)自己的角色集�����;第二個是訪問控制策略模塊�,在客戶端與云端交互的時候,都要經過中間服務器上安全訪問控制策略進行檢驗����,看當前用戶是否具有合法的訪問權限;第三個是云端交互模塊��,對客戶端來說是一個訪問云端的接口集�����。
9.根據權利要求8所述的一種基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法���,其特征在于:在中間服務器上存儲著云端系統(tǒng)用戶的基本信息:用戶名����、密碼、角色集��。
全文摘要
本發(fā)明提供了基于分布式文件系統(tǒng)的移動云存儲安全訪問控制方法�����,步驟1用戶向云存儲平臺發(fā)出云存儲的文件訪問請求��;步驟2中間服務器載入用戶安全策略配置信息�����;步驟3中間服務器根據配置信息關聯(lián)用戶訪問請求��,生成權限表達式��;步驟4中間服務器使用權限判定方法對權限表達式進行求解���;步驟5存儲服務器根據表達式求解結果處理用戶對文件的操作請求。本發(fā)明針對權限判定方法對權限校驗機制進行優(yōu)化����,通過對權限表達式進行分析求值,避免了遍歷和遞歸帶來的損耗�����,大幅提高了系統(tǒng)性能,從而提高了安全訪問控制技術的易用性和高效性��。
文檔編號H04L29/08GK103209189SQ201310139638
公開日2013年7月17日 申請日期2013年4月22日 優(yōu)先權日2013年4月22日
發(fā)明者王軒, 黃偉, 張加佳, 趙海楠, 李曄, 于成龍, 陳悅晨 申請人:哈爾濱工業(yè)大學深圳研究生院