一種基于分布式文件系統(tǒng)的統(tǒng)一認證方法
【專利摘要】本發(fā)明公開了一種基于分布式文件系統(tǒng)的統(tǒng)一認證方法,以解決分布式文件系統(tǒng)下多業(yè)務域的統(tǒng)一權(quán)限管理問題���,本發(fā)明方法分為三個層次:統(tǒng)一認證模塊�、文件資源����、訪問文件系統(tǒng)的用戶����。當用戶訪問分布式文件系統(tǒng)時����,在客戶端輸入用戶名和密碼,通過統(tǒng)一的接口映射到名字節(jié)點的統(tǒng)一認證模塊��,實現(xiàn)權(quán)限認證���。認證模塊首先查尋該用戶是否存在���,如果用戶不存在則返回登錄失敗����;如果用戶查尋比對成功,則返回一張憑證�,只要用戶訪問進程沒有結(jié)束,用戶可以攜帶該憑證訪問不同業(yè)務系統(tǒng)之間的文件資源���。本發(fā)明能夠?qū)崿F(xiàn)分布式文件系統(tǒng)下多業(yè)務域的統(tǒng)一權(quán)限管理����,極大方便了用戶使用及管理。
【專利說明】一種基于分布式文件系統(tǒng)的統(tǒng)一認證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用戶登錄分布式文件系統(tǒng)時的統(tǒng)一認證方法�����,屬于用戶信息安全領(lǐng)域����。
【背景技術(shù)】
[0002]隨著信息科技的創(chuàng)新和信息化水平的提高�����,人們追求更高效的計算和存儲能力����。分布式文件系統(tǒng)恰好能滿足人們對于海量數(shù)據(jù)的存儲和計算需求。以大規(guī)模服務器集群組成的分布式文件系統(tǒng)逐漸成為主流的計算和存儲平臺��。在分布式文件系統(tǒng)的環(huán)境下���,文件資源分散地存儲在個服務器中���,由中心服務器節(jié)點來控制各文件的尋址與讀取���。從文件的物理存儲方面看,文件資源的讀寫權(quán)限由中心節(jié)點控制���,但是從業(yè)務邏輯上看��,每個文件資源分屬于不同的業(yè)務系統(tǒng)����,每個業(yè)務系統(tǒng)都有自己獨立的登錄和權(quán)限管理���。因此�����,在分布式文件系統(tǒng)中��,存在多個業(yè)務域之間的權(quán)限管理問題��。
[0003]相關(guān)的現(xiàn)有技術(shù)主要有Acegi框架��、基于RBAC(role based access control)的訪問控制��;其中���,Acegi是一個能為基于Spring的企業(yè)應用提供靈活安全訪問控制解決方案的框架���。Acegi通過多個不同用途的過濾器對URL資源進行保護,在請求受保護的URL資源前,Acegi的Servlet過濾器判斷用戶是否有權(quán)訪問目標資源�。并且通過Spring AOP對容器中的Bean的受控方法進行攔截,只有領(lǐng)域?qū)ο蟊皇跈?quán)時�����,用戶才可以使用Bean方法對領(lǐng)域?qū)ο筮M行處理�����。由此可知����,Acegi中的授權(quán)是基于角色的授權(quán)���,方便地實現(xiàn)基于角色的訪問控制����。Acegi框架的不足之處在于�,基于Acegi的訪問控制較為適用于Web資源���,該框架的可擴展性較差,不適用于大規(guī)模的分布式文件系統(tǒng)�����。
[0004]基于RBAC的訪問控制是根據(jù)具體的安全策略劃分出不同的角色�����,對每個角色分配不同的操作許可�,用戶通過被賦予不同的角色而獲得角色所擁有的訪問控制權(quán),實現(xiàn)對信息資源的間接訪問��?���;赗BAC的訪問控制引入角色的概念,目的是為了隔離用戶與權(quán)限���,角色作為一個代理層�,耦合了用戶和權(quán)限的關(guān)系�����,所有的授權(quán)應該給予角色而不是給用戶。為了方便對資源的管理�����,同時體現(xiàn)資源的層次關(guān)系���,基于RBAC的訪問控制增加了資源組的概念���,可以映射組織結(jié)構(gòu)所對應的業(yè)務范圍?;赗BAC的訪問控制的不足之處在于,用戶增多時會帶來管理工作量急劇增大����,而且用戶在不同時間可能會是不同的角色�,在用戶角色賦予方面存在動態(tài)控制的問題。
【發(fā)明內(nèi)容】
[0005]為了解決上述問題���,本發(fā)明提供了一種一種基于分布式文件系統(tǒng)的統(tǒng)一認證方法���,以實現(xiàn)分布式文件系統(tǒng)下多業(yè)務域的統(tǒng)一權(quán)限管理。當用戶登錄到某一業(yè)務系統(tǒng)后�,再使用其他業(yè)務系統(tǒng)的文件資源時�,無需進行再次認證����,給用戶帶來極大的方便。
[0006]本發(fā)明基于的原理是�,通常分布式文件系統(tǒng)包含一個元數(shù)據(jù)服務器名字節(jié)點和大量數(shù)據(jù)存儲服務器數(shù)據(jù)節(jié)點。名字節(jié)點負責管理文件資源的元數(shù)據(jù)信息���。元數(shù)據(jù)由三部分組成��,分別是文件系統(tǒng)目錄樹信息����、文件和文件所拆分的數(shù)據(jù)塊的對應關(guān)系���、數(shù)據(jù)塊在數(shù)據(jù)節(jié)點上的分布位置信息���。存儲在分布式文件系統(tǒng)的文件資源被拆成同樣大小的數(shù)據(jù)塊,這些數(shù)據(jù)塊將會復制存儲到多個數(shù)據(jù)節(jié)點中��。本發(fā)明所提出的統(tǒng)一認證方法是運用于分布式文件系統(tǒng)中����,解決分屬于不同業(yè)務系統(tǒng)的文件資源之間權(quán)限管理的問題���。
[0007]本方法分為三個層次:第一層是統(tǒng)一認證模塊,在業(yè)務層上實現(xiàn)文件資源的訪問權(quán)限認證����;第二層是文件資源,即存儲在各數(shù)據(jù)節(jié)點中的數(shù)據(jù)塊���;最后一層是訪問文件系統(tǒng)的用戶��。當用戶訪問分布式文件系統(tǒng)時�,在客戶端輸入用戶名和密碼�,通過統(tǒng)一的接口映射到名字節(jié)點的統(tǒng)一認證模塊,實現(xiàn)權(quán)限認證�。認證模塊首先查尋該用戶是否存在,如果用戶不存在則返回登錄失?�?;如果用戶查尋比對成功����,則返回一張憑證,只要用戶訪問進程沒有結(jié)束�,用戶可以攜帶該憑證訪問不同業(yè)務系統(tǒng)之間的文件資源����。
[0008]本發(fā)明所提出的統(tǒng)一認證方法具體方案如下:
[0009]在分布式文件系統(tǒng)中部署LDAP (Lightweight Directory Access Protocol 輕量級目錄訪問協(xié)議)服務器和CAS(Central Authenticat1n Service中心認證服務)服務器�����,使CAS服務器和LDAP服務器能夠雙向讀取和存儲數(shù)據(jù)�����;
[0010]用戶通過Web應用服務進程訪問分布式文件系統(tǒng)時����,檢查該用戶的會話是否存在,如果不存在則重新定向到CAS服務器端�����,檢查TGT(Ticket Granting Ticket用戶身份認證憑證票據(jù))���,若TGT不存在或者TGT錯誤則需要用戶重新登錄�,用戶輸入了用戶名和密碼后����,在LDAP服務器進行統(tǒng)一認證單點登錄���;
[0011]LDAP認證完成后,CAS返回給用戶合法的TGT和ST (Service Ticket服務許可憑證票據(jù))��,根據(jù)用戶的當前的Web應用服務進程重新定向到分布式文件系統(tǒng)中��。分布式文件系統(tǒng)接收到返回的ST��,還要由CAS服務器認證ST的合法有效性��,如果合法有效則確認用戶可以訪問該分布式文件系統(tǒng)中資源�。
[0012]當用戶獲得訪問分布式文件系統(tǒng)中一個業(yè)務系統(tǒng)的權(quán)限后,當該用戶訪問其他業(yè)務系統(tǒng)的文件資源時����,用戶訪問進程只需提供ST,被訪問的業(yè)務系統(tǒng)把接收到的ST重定向到CAS服務器���,驗證合法性和是否過期�����,若ST不存在或者ST過期,則返回校驗TGT,如果TGT合法則CAS重新授予用戶一張ST��。
[0013]進一步�����,在用戶/用戶組����,角色/權(quán)限分配設計方面,LDAP是以樹狀結(jié)構(gòu)存儲數(shù)據(jù)��,樹的分支末尾是訪問文件資源的用戶��,在存儲用戶實體的時候考慮角色劃分的問題�����。為了方便管理用戶����,讓LDAP的用戶組和訪問文件資源的用戶角色相映射,即采用雙組劃分����,用戶/用戶組對應角色����,角色對應權(quán)限相互映射�����。
[0014]通過采用本發(fā)明方法����,能夠?qū)崿F(xiàn)分布式文件系統(tǒng)下多業(yè)務域的統(tǒng)一權(quán)限管理,即當用戶登錄到某一業(yè)務系統(tǒng)后�,再使用其他業(yè)務系統(tǒng)的文件資源時,無需進行再次認證����,統(tǒng)一認證模塊的實現(xiàn),減少分布式文件系統(tǒng)中獨立認證模塊的開發(fā)����,節(jié)省人力和財力資源;采取LDAP服務器和CAS服務器相結(jié)合的方式��,可大大降低數(shù)據(jù)存儲的重復性和減少占用網(wǎng)絡資源����;本發(fā)明采用雙組劃分��,實現(xiàn)用戶/用戶組對應角色,角色對應權(quán)限相互映射���,大大方便了用戶管理�。
【專利附圖】
【附圖說明】
[0015]圖1是本發(fā)明方法的實現(xiàn)流程圖����。
【具體實施方式】
[0016]下面結(jié)合附圖和實施例對本發(fā)明作進一步詳細說明。
[0017]本發(fā)明方法的流程如圖1所示����,在分布式文件系統(tǒng)中部署LDAP服務器和CAS服務器,使CAS服務器和LDAP服務器能夠雙向讀取和存儲數(shù)據(jù)���;
[0018]用戶通過Web應用服務進程訪問分布式文件系統(tǒng)時�����,檢查該用戶的會話是否存在�,如果不存在則重定向到CAS服務器端����,檢查TGT���,若TGT不存在或者TGT錯誤則需要用戶重新登錄,用戶輸入了用戶名和密碼后�,在LDAP服務器進行統(tǒng)一認證單點登錄;
[0019]LDAP服務器和CAS服務器能夠雙向讀取和存儲數(shù)據(jù)���。LDAP認證完成后���,CAS返回給用戶合法的TGT和ST,根據(jù)用戶的當前的Web應用服務進程重新定向到文件系統(tǒng)中����。文件系統(tǒng)接收到返回的ST,還要由CAS服務器認證ST的合法有效性�,如果合法有效則確認用戶可以訪問資源。
[0020]當用戶獲得訪問其中一個業(yè)務系統(tǒng)的權(quán)限后���,當該用戶訪問其他業(yè)務系統(tǒng)的文件資源時��,用戶訪問進程只需提供ST�,被訪問的業(yè)務系統(tǒng)把接收到的ST重定向到CAS服務器�,驗證合法性和是否過期,若ST不存在或者ST過期�,則返回校驗TGT�����,如果TGT合法則CAS重新授予用戶一張ST��。
[0021]在用戶/用戶組,角色/權(quán)限分配設計方面��,LDAP是以樹狀結(jié)構(gòu)存儲數(shù)據(jù)�,樹的分支末尾是訪問文件資源的用戶,在存儲用戶實體的時候考慮角色劃分的問題�。為了方便管理用戶,讓LDAP的用戶組和訪問文件資源的用戶角色相映射����,即采用雙組劃分,用戶/用戶組對應角色����,角色對應權(quán)限相互映射。
[0022]本發(fā)明不限于上述實施例��,一切采用等同替換或等效替換形成的技術(shù)方案均屬于本發(fā)明要求保護的范圍����。
【權(quán)利要求】
1.一種基于分布式文件系統(tǒng)的統(tǒng)一認證方法�����,其特征在于�����,包括如下步驟: 在分布式文件系統(tǒng)中部署LDAP服務器和CAS服務器��,使CAS服務器和LDAP服務器能夠雙向讀取和存儲數(shù)據(jù)�; 用戶通過Web應用服務進程訪問分布式文件系統(tǒng)時����,檢查該用戶的會話是否存在,如果不存在則重新定向到CAS服務器端�,檢查TGT,若TGT不存在或者TGT錯誤則需要用戶重新登錄��,用戶輸入了用戶名和密碼后���,在LDAP服務器進行統(tǒng)一認證單點登錄�; LDAP認證完成后��,CAS返回給用戶合法的TGT和ST,根據(jù)用戶的當前的Web應用服務進程重新定向到所述分布式文件系統(tǒng)中�����;所述分布式文件系統(tǒng)接收到返回的ST��,由CAS服務器認證ST的合法有效性�����,如果合法有效則確認用戶可以訪問該分布式文件系統(tǒng)中的資源���;當用戶獲得訪問所述分布式文件系統(tǒng)中的一個業(yè)務系統(tǒng)的權(quán)限后,當該用戶訪問其他業(yè)務系統(tǒng)的文件資源時����,用戶訪問進程只需提供ST,被訪問的業(yè)務系統(tǒng)把接收到的ST重定向到CAS服務器����,驗證所述ST的合法性和是否過期,若ST不存在或者ST過期�����,則返回校驗TGT,如果TGT合法則CAS重新授予用戶一張ST�。
2.根據(jù)權(quán)利要求1所述的方法,其特征是����,在用戶/用戶組,角色/權(quán)限分配設計中�����,將LDAP的用戶組和訪問文件資源的用戶角色相映射����,即采用雙組劃分,用戶/用戶組對應角色���,角色對應權(quán)限相互映射�。
【文檔編號】H04L29/08GK104394141SQ201410677562
【公開日】2015年3月4日 申請日期:2014年11月21日 優(yōu)先權(quán)日:2014年11月21日
【發(fā)明者】孫知信, 李廣志 申請人:南京郵電大學