[发明专利]一种Hive平台的用户安全管理系统及应用

摘要

本发明公开了一种面向Hive平台的用户安全管理系统，它还包括有访问控制与安全审计单元、数据查询单元以及身份认证单元；所述的访问控制与安全审计单元包括安全审计服务器和访问控制服务器，所述的数据查询单元包括HDFS服务器、NameNode服务器和Hive服务器，所述的身份认证单元包括LDAP服务器。面向Hive平台的用户安全管理方法，它包括有用户注册、用户登录、用户查询和审计存储四个步骤。本发明解决了传统用户对大规模存储系统的越权访问行为，能安全有效地防止数据存储设备被偷窃导致数据泄露，防止传统存储系统遭受外部人员入侵获得隐私数据以及数据分包被非法截取的现象。

主权项

1.一种Hive平台的用户安全管理系统，它包括访问控制与安全审计单元、数据查询单元以及身份认证单元，其特征在于：所述的访问控制与安全审计单元包括安全审计服务器和访问控制服务器；所述的数据查询单元包括HDFS服务器、NameNode服务器和Hive服务器；所述的身份认证单元包括LDAP服务器和票据管理服务器；用户安全管理系统由五个路由器连接各单元，第一路由器分别与防火墙、安全审计服务器和第二路由器连接，用户终端经过防火墙访问系统；第二路由器分别与身份认证服务器及第三路由器连接；第三路由器分别与访问控制服务器及第四路由器连接；第四路由器分别与Hive服务器及第五路由器连接；第五路由器分别与HDFS服务器及NameNode服务器连接；所述的访问控制与安全审计单元用于维护信息、访问控制策略及审计跟踪策略；接收来自数据查询单元的查询许可确认请求，查询本地数据库对查询进行基于角色和动态权限结合的许可确认，并将确认结果返回给数据查询单元；动态权限基于用户行为，从登陆时间间隔、查询时间间隔、查询数量计数等方面进行访问控制检查，并根据检查结果实时动态更新控制规则；提供审计跟踪功能，建立系统日志记录；所述的访问控制与安全审计单元还包括有权限生成模块；所述数据查询单元，接收来自用户终端的数据查询请求，调用访问控制与安全审计单元确认用户的访问权限；查询请求合法即在Hadoop平台进行数据查询，并将查询结果返回给用户终端，反之则拒绝执行用户查询，并通知用户查询权限不合法；Hive服务器将结构化的数据文件映射为一张数据库表，能存储、查询和分析存储的大规模数据，并提供简单的SQL查询功能；HDFS服务器提供高吞吐量的数据访问，能实现流的形式访问文件系统中的数据；NameNode服务器用于各节点的数据转移和数据调度；所述身份认证单元中，LDAP服务器对用户身份及其查询请求进行认证，为用户查询和相关服务的申请产生相应的票据，并维持与用户信息相关的数据管理。