本发明涉及权限控制,尤其涉及一种基于hdfs的用户数据隔离访问控制方法及系统。
背景技术:
1、在当前的大数据环境下,hdfs(hadoop分布式文件系统)已成为许多企业和组织存储和管理海量数据的首选平台。为了方便用户访问hdfs中的数据,通常会使用hdfs-over-ftp等工具,允许用户通过ftp协议访问hdfs文件系统。这种方式简化了数据访问流程,提高了数据利用效率。然而,随着数据规模的不断扩大和用户数量的增加,传统的访问控制方法面临着诸多挑战。静态的权限配置难以适应动态变化的业务需求,粗粒度的访问控制无法满足精细化的数据隔离要求,而简单的身份验证机制也难以应对日益复杂的安全威胁。
2、现有技术中的不足主要体现在以下几个方面:首先,传统的权限控制机制缺乏灵活性,无法根据用户的行为模式和系统负载动态调整权限策略。其次,现有的访问控制方法往往忽视了上下文信息和用户行为模式的重要性,导致在异常情况下难以做出准确的访问控制决策。再者,大多数系统缺乏有效的故障应对机制,在面对潜在的系统故障或安全威胁时,无法及时调整权限策略以降低风险。最后,现有的权限管理方法通常是孤立的,缺乏对不同层级(如文件级、目录级和操作级)权限策略的协同优化,难以实现全面而精细的数据隔离控制。
技术实现思路
1、有鉴于此,本发明实施例提供了一种基于hdfs的用户数据隔离访问控制方法及系统,用于提高现有的访问控制方法的访问控制决策的准确率和安全性。
2、本发明提供了一种基于hdfs的用户数据隔离访问控制方法,包括:对用户通过ftp客户端发起的登录请求进行身份验证和角色权限提取,得到用户身份信息流;对所述用户身份信息流进行权限矩阵构建,得到用户特定权限集合,所述对所述用户身份信息流进行权限矩阵构建,得到用户特定权限集合步骤,包括:对所述用户身份信息流进行数据解析,得到用户角色标识和目标权限等级数据,并对所述用户角色标识进行角色权限模板匹配,得到基础权限矩阵;对所述目标权限等级数据进行数值映射处理,得到权限等级系数,并对所述基础权限矩阵和所述权限等级系数进行矩阵乘法运算,得到初步调整权限矩阵;对所述用户身份信息流对应的用户历史行为数据进行特征提取,得到用户行为特征向量,并对所述用户行为特征向量进行权重分配,得到行为权重系数;对所述初步调整权限矩阵和所述行为权重系数进行元素级乘法运算,得到目标权限矩阵,并对所述目标权限矩阵进行阈值过滤,得到候选权限项集合;对所述候选权限项集合进行冲突检测,得到无冲突权限项列表,并对所述无冲突权限项列表进行结构化封装,得到用户特定权限集合;对所述用户特定权限集合进行数据提取,得到操作权限数据集,其中,所述操作权限数据集包括:读取权限数据、写入权限数据和删除权限数据,并对所述操作权限数据集进行动态权限分析,得到动态权限规则集,具体包括:对所述用户特定权限集合进行结构化解析,得到权限项目录表,并对所述权限项目录表进行操作类型分类,得到初步操作权限数据集;对所述初步操作权限数据集进行细粒度划分,得到读取权限数据、写入权限数据和删除权限数据,并对所述读取权限数据、写入权限数据和删除权限数据进行数据关联性分析,得到权限依赖关系图;对所述权限依赖关系图进行图遍历处理,得到权限传播路径集,并对所述权限传播路径集进行路径优化,得到简化权限传播模型;对所述简化权限传播模型进行时间序列分析,得到权限变化趋势数据,并对所述权限变化趋势数据进行预测外推,得到权限演变预测结果;对所述权限演变预测结果进行规则提取,得到候选动态权限规则集,并对所述候选动态权限规则集进行冲突消解和优先级排序,得到动态权限规则集;通过所述用户特定权限集合和所述动态权限规则集对所述用户身份信息流进行实时计算和持续监测,得到分层协同的初步访问控制决策数据;对所述分层协同的初步访问控制决策数据进行上下文感知验证和行为模式分析,得到确认数据,并基于所述确认数据以及所述动态权限规则集的知识图谱进行权限匹配,得到目标访问控制决策数据;对所述目标访问控制决策数据进行故障应对策略分析,得到所述目标访问控制决策数据对应的临时权限调整策略。
3、本发明还提供了一种基于hdfs的用户数据隔离访问控制系统,包括:
4、提取模块,用于对用户通过ftp客户端发起的登录请求进行身份验证和角色权限提取,得到用户身份信息流;
5、构建模块,用于对所述用户身份信息流进行权限矩阵构建,得到用户特定权限集合,所述对所述用户身份信息流进行权限矩阵构建,得到用户特定权限集合步骤,包括:对所述用户身份信息流进行数据解析,得到用户角色标识和目标权限等级数据,并对所述用户角色标识进行角色权限模板匹配,得到基础权限矩阵;对所述目标权限等级数据进行数值映射处理,得到权限等级系数,并对所述基础权限矩阵和所述权限等级系数进行矩阵乘法运算,得到初步调整权限矩阵;对所述用户身份信息流对应的用户历史行为数据进行特征提取,得到用户行为特征向量,并对所述用户行为特征向量进行权重分配,得到行为权重系数;对所述初步调整权限矩阵和所述行为权重系数进行元素级乘法运算,得到目标权限矩阵,并对所述目标权限矩阵进行阈值过滤,得到候选权限项集合;对所述候选权限项集合进行冲突检测,得到无冲突权限项列表,并对所述无冲突权限项列表进行结构化封装,得到用户特定权限集合;
6、分析模块,用于对所述用户特定权限集合进行数据提取,得到操作权限数据集,其中,所述操作权限数据集包括:读取权限数据、写入权限数据和删除权限数据,并对所述操作权限数据集进行动态权限分析,得到动态权限规则集,具体包括:对所述用户特定权限集合进行结构化解析,得到权限项目录表,并对所述权限项目录表进行操作类型分类,得到初步操作权限数据集;对所述初步操作权限数据集进行细粒度划分,得到读取权限数据、写入权限数据和删除权限数据,并对所述读取权限数据、写入权限数据和删除权限数据进行数据关联性分析,得到权限依赖关系图;对所述权限依赖关系图进行图遍历处理,得到权限传播路径集,并对所述权限传播路径集进行路径优化,得到简化权限传播模型;对所述简化权限传播模型进行时间序列分析,得到权限变化趋势数据,并对所述权限变化趋势数据进行预测外推,得到权限演变预测结果;对所述权限演变预测结果进行规则提取,得到候选动态权限规则集,并对所述候选动态权限规则集进行冲突消解和优先级排序,得到动态权限规则集;
7、监测模块,用于通过所述用户特定权限集合和所述动态权限规则集对所述用户身份信息流进行实时计算和持续监测,得到分层协同的初步访问控制决策数据;
8、匹配模块,用于对所述分层协同的初步访问控制决策数据进行上下文感知验证和行为模式分析,得到确认数据,并基于所述确认数据以及所述动态权限规则集的知识图谱进行权限匹配,得到目标访问控制决策数据;
9、调整模块,用于对所述目标访问控制决策数据进行故障应对策略分析,得到所述目标访问控制决策数据对应的临时权限调整策略。
10、本发明提供的技术方案中,通过对用户通过ftp客户端发起的登录请求进行身份验证和角色权限提取,得到用户身份信息流,实现了对用户身份的精确识别和初步权限划分,为后续的精细化权限控制奠定了基础;对用户身份信息流进行权限矩阵构建,得到用户特定权限集合,实现了权限的个性化定制,使得系统能够根据不同用户的特性和需求灵活配置访问权限;再次,通过对用户特定权限集合进行数据提取,得到包含读取权限数据、写入权限数据和删除权限数据的操作权限数据集,并对其进行动态权限分析,得到动态权限规则集,使得系统能够实时响应用户行为和环境变化,动态调整权限策略,提高了系统的适应性和安全性;此外,利用用户特定权限集合和动态权限规则集对用户身份信息流进行实时计算和持续监测,得到分层协同的初步访问控制决策数据,实现了多层次、全方位的权限控制,确保了数据访问的精细化管理;更进一步,对分层协同的初步访问控制决策数据进行上下文感知验证和行为模式分析,得到确认数据,并基于确认数据以及动态权限规则集的知识图谱进行权限匹配,得到目标访问控制决策数据,充分考虑了环境因素和用户行为模式,大大提高了访问控制决策的准确性和可靠性;最后,通过对目标访问控制决策数据进行故障应对策略分析,得到相应的临时权限调整策略,增强了系统的容错能力和安全性,使其能够在面对潜在故障或安全威胁时快速做出响应,动态调整权限策略,最大限度地降低风险。
1.一种基于hdfs的用户数据隔离访问控制方法,其特征在于,包括:
2.根据权利要求1所述的基于hdfs的用户数据隔离访问控制方法,其特征在于,所述对用户通过ftp客户端发起的登录请求进行身份验证和角色权限提取,得到用户身份信息流步骤,包括:
3.根据权利要求1所述的基于hdfs的用户数据隔离访问控制方法,其特征在于,所述通过所述用户特定权限集合和所述动态权限规则集对所述用户身份信息流进行实时计算和持续监测,得到分层协同的初步访问控制决策数据步骤,包括:
4.根据权利要求3所述的基于hdfs的用户数据隔离访问控制方法,其特征在于,所述对所述分层协同的初步访问控制决策数据进行上下文感知验证和行为模式分析,得到确认数据,并基于所述确认数据以及所述动态权限规则集的知识图谱进行权限匹配,得到目标访问控制决策数据步骤,包括:
5.根据权利要求4所述的基于hdfs的用户数据隔离访问控制方法,其特征在于,所述对所述目标访问控制决策数据进行故障应对策略分析,得到所述目标访问控制决策数据对应的临时权限调整策略步骤,包括:
6.一种基于hdfs的用户数据隔离访问控制系统,用以执行如权利要求1至5任一项所述的基于hdfs的用户数据隔离访问控制方法,其特征在于,包括:
