CN105991596A - 一种访问控制方法和*** - Google Patents

一种访问控制方法和*** Download PDF

Info

Publication number
CN105991596A
CN105991596A CN201510083833.3A CN201510083833A CN105991596A CN 105991596 A CN105991596 A CN 105991596A CN 201510083833 A CN201510083833 A CN 201510083833A CN 105991596 A CN105991596 A CN 105991596A
Authority
CN
China
Prior art keywords
node
trust value
service
value
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510083833.3A
Other languages
English (en)
Other versions
CN105991596B (zh
Inventor
罗圣美
孙知信
陈小华
闫如胜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201510083833.3A priority Critical patent/CN105991596B/zh
Priority to PCT/CN2015/093208 priority patent/WO2016127664A1/zh
Publication of CN105991596A publication Critical patent/CN105991596A/zh
Application granted granted Critical
Publication of CN105991596B publication Critical patent/CN105991596B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种访问控制方法,该方法包括:在接收到用户申请服务的请求后,查询该用户的信任度信息;在根据查询到的信任度信息判断该用户可信时,查询能够为该用户提供服务的候选服务节点的信任度信息,结合查询到的信任度信息为所述用户选择提供服务的服务节点。本发明能够提高Hadoop集群***的安全性。本发明还公开了一种访问控制***。

Description

一种访问控制方法和***
技术领域
本发明涉及计算机集群技术领域,尤其涉及的是一种访问控制方法和***。
背景技术
Hadoop是一个分布式开源的框架,不仅可以用来存储海量数据,还支持Google公司的Mapreduce分布式计算框架,目前已被应用在云计算平台中。为提高Hadoop集群安全,使用基于SSL(Secure Sockets Layer,安全套接层)的Kerberos进行Hadoop集群的访问控制来保护HDFS(Hadoop DistributedFile System,Hadoop分布式文件***)和Mapreduce。
Kerberos是一种网络认证协议,其目标是通过对称密钥体制为C/S(客户端/服务器)应用程序提供可靠安全的认证服务。这一协议要求共同认证,也就是说,在客户端允许使用服务器端资源之前,客户端和服务器端必须相互认证对方身份。Kerberos认证的目的在于让非加密网络的应用程序在通信时,通过加密的方式向对方认证它们的身份。采用Kerberos的Hadoop安全防护机制的特点在于:(1)Kerberos能够可靠地进行用户和节点的认证;(2)通过Kerberos认证后客户端会获得名称节点NameNode发放的令牌,在指定时间域内用户不需要再次经过KDC(Key Distribution Center,密钥分发中心)认证,为KDC减轻了负担;(3)非法用户在没有节点访问令牌时无法绕过Kerberos认证。
但是,Kerberos也存在局限性,比如,在访问令牌被恶意窃取后,数据的保密性与完整性仍然会遭遇风险。
发明内容
本发明所要解决的技术问题是提供一种访问控制方法和***,能够提高Hadoop集群***的安全性。
为了解决上述技术问题,本发明提供了一种访问控制方法,该方法包括:
在接收到用户申请服务的请求后,查询该用户的信任度信息;
在根据查询到的信任度信息判断该用户可信时,查询能够为该用户提供服务的候选服务节点的信任度信息,结合查询到的信任度信息为所述用户选择提供服务的服务节点。
进一步地,该方法还包括下述特点:
所述方法还包括:
在根据查询到的信任度信息判断该用户不可信时,拒绝为所述用户发放访问服务节点的令牌。
进一步地,该方法还包括下述特点:
所述方法还包括:
收集节点的行为数据,根据信任值计算模型和收集到的行为数据计算节点的信任值。
进一步地,该方法还包括下述特点:
收集节点的行为数据,根据信任值计算模型和收集到的行为数据计算节点的信任值,包括:
收集当前统计周期内的节点之间评定的本地信任值信息;
对每一个节点,将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均,获得的加权平均值作为所述节点在当前统计周期内的全局信任值;其中,每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值;
在获得所有目标节点在当前统计周期内的全局信任值后,对每一个节点在当前统计周期内的全局信任值进行归一化处理,包括:对任意一个节点,将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和,得到的商作为所述节点在当前统计周期内的归一化全局信任值。
进一步地,该方法还包括下述特点:
所述方法还包括:
在确定节点的信任值后,还根据节点的信任值确定节点的安全等级;
其中,所述安全等级为:危险级、一般安全级或高安全级。
进一步地,该方法还包括下述特点:
结合查询到的信任度信息为所述用户选择提供服务的服务节点,包括:
根据服务节点的信任值和资源占用情况对能够提供服务的服务节点进行排序,根据排序结果挑选服务节点。
进一步地,该方法还包括下述特点:
所述方法还包括:
在确定某个服务节点的安全等级为危险级时,限制所述服务节点提供服务。
为了解决上述技术问题,本发明提供了一种访问控制***,包括:
节点监测模块,用于监测节点之间的通信,将节点之间的信任关系数据上报给信任值计算模块;
信任值计算模块,用于计算节点的信任值;
调度及控制模块,用于在接收到用户申请服务的请求后,查询该用户的信任度信息,在根据查询到的信任度信息判断该用户可信时,查询能够为所述用户提供服务的候选服务节点的信任度信息,结合查询到的信任度信息为所述用户选择提供服务的服务节点。
进一步地,该***还包括下述特点:
调度及控制模块,还用于在根据查询到的信任度信息判断该用户不可信时,拒绝为所述用户发放访问服务节点的令牌。
进一步地,该***还包括下述特点:
信任值计算模块,用于计算节点的信任值,包括:收集到节点的行为数据后,根据信任值计算模型和收集到的行为数据计算节点的信任值。
进一步地,该***还包括下述特点:
信任值计算模块,用于收集到节点的行为数据后,根据信任值计算模型和收集到的行为数据计算节点的信任值,包括:
收集到当前统计周期内的节点之间评定的本地信任值信息后,对每一个节点,将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均,获得的加权平均值作为所述节点在当前统计周期内的全局信任值;其中,每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值;
在获得所有目标节点在当前统计周期内的全局信任值后,对每一个节点在当前统计周期内的全局信任值进行归一化处理,包括:对任意一个节点,将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和,得到的商作为所述节点在当前统计周期内的归一化全局信任值。
进一步地,该***还包括下述特点:
所述***还包括:
安全等级划分模块,用于根据节点的信任值确定节点的安全等级;
其中,所述安全等级为:危险级、一般安全级或高安全级。
进一步地,该***还包括下述特点:
调度及控制模块,用于结合查询到的信任度信息为所述用户选择提供服务的服务节点,包括:
根据服务节点的信任值和资源占用情况对能够提供服务的服务节点进行排序,根据排序结果挑选服务节点。
进一步地,该***还包括下述特点:
调度及控制模块,还用于在确定某个服务节点的安全等级为危险级时,限制所述服务节点提供服务。
与现有技术相比,本发明提供的一种访问控制方法和***,通过信任模型计算出的服务节点信任值可以优化服务节点的调度,采用信任值计算,通过阈值控制块令牌的发放,有助于NameNode节点对用户的细粒度的访问控制,并且用户获取到令牌后进行的操作也影响着自身的信任值,本发明能够提高Hadoop集群***的安全性。
附图说明
图1为本发明实施例的一种访问控制方法的流程图。
图2为本发明实施例的一种访问控制***的结构示意图。
图3为本发明应用示例中节点间的信任值有向图示意。
图4为本发明应用示例中在NameNode节点上部署本发明的访问控制***的示意图。
图5为本发明应用示例中在Kerberos认证环境下根据信任值向用户发放令牌的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图1所示,本发明实施例提供了一种访问控制方法,该方法包括:
S10,在接收到用户申请服务的请求后,查询该用户的信任度信息;
S20,在根据查询到的信任度信息判断该用户可信时,查询能够为该用户提供服务的候选服务节点的信任度信息,结合查询到的信任度信息为所述用户选择提供服务的服务节点。
所述方法还可以包括下述特点:
其中,在接收到用户申请服务的请求后,查询该用户的信任度信息,包括:
在接收到通过了密钥分发中心KDC认证的用户申请服务的请求后,查询该用户的信任度信息。
其中,在根据查询到的信任度信息判断该用户不可信时,拒绝为所述用户发放访问服务节点的块令牌。
其中,根据查询到的信任度信息判断该用户是否可信,包括:
如查询到所述用户的信任度等级高于阈值,则判断该用户可信,如查询到所述用户的信任度等级等于或低于阈值,则判断该用户不可信;
其中,所述方法还包括:收集节点的行为数据,根据信任值计算模型和收集到的行为数据计算节点的信任值,包括:
收集当前统计周期内的节点之间评定的本地信任值信息;
对每一个节点,将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均,获得的加权平均值作为所述节点在当前统计周期内的全局信任值;其中,每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值;
在获得所有目标节点在当前统计周期内的全局信任值后,对每一个节点在当前统计周期内的全局信任值进行归一化处理,包括:对任意一个节点,将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和,得到的商作为所述节点在当前统计周期内的归一化全局信任值。
也即,对任意一个节点i,假设在当前统计周期t+1内,一共有N个节点参与信任值计算,任意一个节点j对节点i评定的本地信任值为mij,节点j在上一个统计周期t内的归一化全局信任值为rj(t),则节点i在当前统计周期t+1内的全局信任值vi(t+1)为:
v i ( t + 1 ) = Σ j = 1 , j ≠ i N m ij · r j ( t ) - - - ( 1 )
将节点i在当前统计周期t+1内的全局信任值vi(t+1)进行归一化处理,则节点i在当前统计周期t+1内的归一化全局信任值ri(t+1)为:
r i ( t + 1 ) = v i ( t + 1 ) / ( Σ j = 1 N v j ( t + 1 ) ) - - - ( 2 )
其中,所述节点包括服务节点和用户所在的节点;
其中,所述方法还包括:
在确定节点的信任值后,还根据节点的信任值确定节点的安全等级;
其中,所述安全等级为:危险级、一般安全级或高安全级。
其中,所述方法还包括:
在确定某个服务节点的安全等级为危险级时,限制所述服务节点提供服务。
其中,结合查询到的信任度信息为所述用户选择提供服务的服务节点,包括:
根据服务节点的信任值和资源占用情况对能够提供服务的服务节点进行排序,根据排序结果挑选服务节点。
比如,优先选择信任值高的和剩余资源充足的服务节点为用户提供服务;
其中,在确定为用户提供服务的服务节点后,向所述用户发送用于访问所述提供服务的服务节点的块令牌。
如图2所示,本发明实施例提供了一种访问控制***,包括:
节点监测模块,用于监测节点之间的通信,将节点之间的信任关系数据上报给信任值计算模块;
信任值计算模块,用于计算节点的信任值;
调度及控制模块,用于在接收到用户申请服务的请求后,查询该用户的信任度信息,在根据查询到的信任度信息判断该用户可信时,查询能够为所述用户提供服务的候选服务节点的信任度信息,结合查询到的信任度信息为所述用户选择提供服务的服务节点。
所述***还可以包括下述特点:
其中,调度及控制模块,还用于在根据查询到的信任度信息判断该用户不可信时,拒绝为所述用户发放访问服务节点的块令牌。
其中,信任值计算模块,用于计算节点的信任值,包括:收集到节点的行为数据后,根据信任值计算模型和收集到的行为数据计算节点的信任值。
其中,信任值计算模块,用于收集到节点的行为数据后,根据信任值计算模型和收集到的行为数据计算节点的信任值,包括:
收集到当前统计周期内的节点之间评定的本地信任值信息后,对每一个节点,将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均,获得的加权平均值作为所述节点在当前统计周期内的全局信任值;其中,每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值;
在获得所有目标节点在当前统计周期内的全局信任值后,对每一个节点在当前统计周期内的全局信任值进行归一化处理,包括:对任意一个节点,将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和,得到的商作为所述节点在当前统计周期内的归一化全局信任值。
其中,所述***还包括:
安全等级划分模块,用于根据节点的信任值确定节点的安全等级;
其中,所述安全等级为:危险级、一般安全级或高安全级。
其中,调度及控制模块,用于结合查询到的信任度信息为所述用户选择提供服务的服务节点,包括:
根据服务节点的信任值和资源占用情况对能够提供服务的服务节点进行排序,根据排序结果挑选服务节点。
其中,调度及控制模块,还用于在确定某个服务节点的安全等级为危险级时,限制所述服务节点提供服务。
应用示例
基于用户的行为分析,判断行为的友好性,需要引入用户信任值的概念,信任值采用赋初值的方式计算,根据专家库里的更新策略进行更新计算。
为了完成信任值的计算,需要对用户和服务节点的行为进行细致的跟踪记录。通过服务节点进行用户行为的跟踪,记录行为开始与结束时的可信证据,返回给NameNode,生成各个用户的行为数据集合,根据行为数据集合,通过建立全局的信任模型,计算出用户与服务节点的信任值。
举例如下:
如图3所示,假设现有Hadoop***中有5个节点,分别是:N1、N2、N3、N4、N5,图3所示的有向图是用来表示各节点的信任值的。有向图中每一条有向边上的数值是对端节点评定的本端节点的信任值,信任值是(0,1)之间的一个小数,0表示没有任何信任(或者没有交互),1表示百分之百信任,节点内的数值是上一个统计周期t内该节点的归一化全局信任值。
一个节点的全局信任值是根据所有对端节点对该节点评定的信任值进行加权平均后得到的,其中,每一个对端节点评定的信任值用该对端节点在上一个统计周期内t内的归一化全局信任值来加权。也即,计算一个节点的全局信任值时,信任模型考虑所有与该节点交互过的节点对它的意见。一个节点在一个操作完成之后将对与它交互过的节点进行反馈,以便在以后的交互中使用。
假设在上一统计周期t内,N1、N2、N3、N4、N5的归一化的全局信任值依次是:
r1(t)=0.32;
r2(t)=0.001;
r3(t)=0.009;
r4(t)=0.04;
r5(t)=0.63;
N1、N2、N3、N4、N5节点在当前统计周期t内的全局信任值分别如下:
V1(t+1)=0.001*0.6+*0.009*0.5=0.0051;
V2(t+1)=0.32*0.3+0.009*0.2=0.0978;
V3(t+1)=0.32*0.3+0.001*0.4+0.63*0.8=0.6004;
V4(t+1)=0.32*0.3+0.009*0.3+0.63*0.2=0.2247;
V5(t+1)=0.32*0.1=0.032;
通过把每一个节点的全局信任值除以所有节点的全局信任值之和,可以得到每一个节点的归一化全局信任值:
r1(t+1)=0.0051/(0.0051+0.0978+0.6004+0.2247+0.032)=0.005313;
r2(t+1)=0.0978/(0.0051+0.0978+0.6004+0.2247+0.032)=0.101875;
r3(t+1)=0.6004/(0.0051+0.0978+0.6004+0.2247+0.032)=0.625417;
r4(t+1)=0.2247/(0.0051+0.0978+0.6004+0.2247+0.032)=0.234063;
r5(t+1)=0.032/(0.0051+0.0978+0.6004+0.2247+0.032)=0.033333;
如图4所示,在Hadoop的NameNode节点部署信任值计算模块、等级划分模块、控制模块和节点调度模块。
节点监测模块:用于监测节点之间的通信,通过读写数据块的频率、读写数据块的成功率,建立节点之间的信任值,主要参数包括:存储空间占用率、成功的服务提交比率、网络占用率。
信任值计算模块:根据信任模型,计算节点的信任值。
等级划分模块:根据***的安全策略,划分不同的等级,以优化节点的调度。
控制模块:对服务的安全要求进行解析,根据节点的安全等级进行服务的控制。
比如,控制模块可以中止等级过低的节点当前的服务,发送警示数据包给***管理员。
调度模块:生成服务的可选节点集合,用信任值、安全级、实时网络通信能力,加权计算出节点集合的排序列表,选择服务能力最强最可靠的节点提供服务,在该节点出现挂起等异常时选择下一节点进行服务,本模块用来控制NameNode的节点调度。也即,基于可服务节点集计算优先次序表,依次选择最优的服务节点。
具体实施步骤:
步骤1:启动节点监测模块,使其保持活跃状态。
步骤2:记录时间域t内节点之间的交互记录、节点提交的任务数、节点完成的任务描述、节点失败的任务描述、节点的网络带宽占用率。
步骤3:节点监测模块将时间域t内的数据记录集提交给信任值计算模块。
步骤4:信任值计算模块采用信任模型,构建节点的信任矩阵,计算出各个节点的信任值。
步骤5:信任值计算模块将节点信任值列表传递给等级划分模块。
步骤6:等级划分模块根据***划分规则与节点的信任值划分出节点的安全等级,比如,划分危险级、一般安全级和高安全级。
步骤7:等级划分模块将节点的信任等级标记到信任值数据包中,传递给控制模块。
步骤8:控制模块收到信任值包后,查看等级,发现有危险级节点时,发送请求给调度模块,调度模块收到请求后中止危险级节点的服务。
步骤9:用户向主节点(NameNode)申请服务,主节点将服务请求的数据包交给控制模块解析,控制模块解析出服务类型与服务的可选节点。
步骤10:捕获当前节点负载、网络状态量化值,与信任值进行加权计算,生成可服务节点的优先次序表,剔除危险级节点。
步骤11:发送最优节点与次优节点给调度模块,调度模块建立用户与服务的连接,服务启用。
上述方法采用信任模型计算出的节点信任值可以优化节点的调度,同时也参考服务节点的性能等因素。例如一个安全等级高且存储空间剩余多的数据节点(DataNode)将在客户端发起存储文件服务请求时被优先调用,文件的备份将会被存储在下一个最优节点上。
如图5所示,客户端Client向KDC进行认证服务,Client获得了访问NameNode的票据TGT(Ticket Granting Ticket,票据授权票据)后,Client持TGT申请服务,NameNode从信任值库中读取用户信任值,当信任值低于阈值时,拒绝服务,反之发送一个块令牌给用户,用户便可持块令牌访问相应的节点数据,Client行为跟踪模块继续跟踪该用户的行为,根据行为记录和信任值计算模块修正用户信任值表。
步骤1:图5中的1-4环节,Client通过Kerberos认证获取到票据TGT;
步骤2:Client持TGT访问NameNode节点;
步骤3:NameNode解析服务请求的数据块并进入信任值数据库中读取用户信任值;
步骤4:判断用户信任值,大于阈值且为非危险级用户时发放带时间节点的块令牌,小于阈值或者属于危险级时不发放块令牌。
步骤5:Client行为跟踪模块跟踪持块令牌获取服务的用户,记录相关行为数据,为下一时域t内信任值的计算收集证据。
上述方法采用信任值计算和建立信任值数据库的方法,通过阈值控制块令牌的发放,有助于NameNode节点对Client的细粒度的访问控制,并且Client获取到令牌后进行的操作也影响着自身的信任值。
上述实施例提供的一种访问控制方法和***,通过信任模型计算出的服务节点信任值可以优化服务节点的调度,采用信任值计算,通过阈值控制块令牌的发放,有助于NameNode节点对用户的细粒度的访问控制,并且用户获取到令牌后进行的操作也影响着自身的信任值,本发明能够提高Hadoop集群***的安全性。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (14)

1.一种访问控制方法,该方法包括:
在接收到用户申请服务的请求后,查询该用户的信任度信息;
在根据查询到的信任度信息判断该用户可信时,查询能够为该用户提供服务的候选服务节点的信任度信息,结合查询到的信任度信息为所述用户选择提供服务的服务节点。
2.如权利要求1所述的方法,其特征在于,还包括:
在根据查询到的信任度信息判断该用户不可信时,拒绝为所述用户发放访问服务节点的令牌。
3.如权利要求1所述的方法,其特征在于,还包括:
收集节点的行为数据,根据信任值计算模型和收集到的行为数据计算节点的信任值。
4.如权利要求3所述的方法,其特征在于:
收集节点的行为数据,根据信任值计算模型和收集到的行为数据计算节点的信任值,包括:
收集当前统计周期内的节点之间评定的本地信任值信息;
对每一个节点,将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均,获得的加权平均值作为所述节点在当前统计周期内的全局信任值;其中,每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值;
在获得所有目标节点在当前统计周期内的全局信任值后,对每一个节点在当前统计周期内的全局信任值进行归一化处理,包括:对任意一个节点,将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和,得到的商作为所述节点在当前统计周期内的归一化全局信任值。
5.如权利要求3或4所述的方法,其特征在于,还包括:
在确定节点的信任值后,还根据节点的信任值确定节点的安全等级;
其中,所述安全等级为:危险级、一般安全级或高安全级。
6.如权利要求4所述的方法,其特征在于:
结合查询到的信任度信息为所述用户选择提供服务的服务节点,包括:
根据服务节点的信任值和资源占用情况对能够提供服务的服务节点进行排序,根据排序结果挑选服务节点。
7.如权利要求5所述的方法,其特征在于,还包括:
在确定某个服务节点的安全等级为危险级时,限制所述服务节点提供服务。
8.一种访问控制***,包括:
节点监测模块,用于监测节点之间的通信,将节点之间的信任关系数据上报给信任值计算模块;
信任值计算模块,用于计算节点的信任值;
调度及控制模块,用于在接收到用户申请服务的请求后,查询该用户的信任度信息,在根据查询到的信任度信息判断该用户可信时,查询能够为所述用户提供服务的候选服务节点的信任度信息,结合查询到的信任度信息为所述用户选择提供服务的服务节点。
9.如权利要求8所述的***,其特征在于:
调度及控制模块,还用于在根据查询到的信任度信息判断该用户不可信时,拒绝为所述用户发放访问服务节点的令牌。
10.如权利要求8所述的***,其特征在于:
信任值计算模块,用于计算节点的信任值,包括:收集到节点的行为数据后,根据信任值计算模型和收集到的行为数据计算节点的信任值。
11.如权利要求10所述的***,其特征在于:
信任值计算模块,用于收集到节点的行为数据后,根据信任值计算模型和收集到的行为数据计算节点的信任值,包括:
收集到当前统计周期内的节点之间评定的本地信任值信息后,对每一个节点,将当前统计周期内所有对端节点为所述节点评定的本地信任值进行加权平均,获得的加权平均值作为所述节点在当前统计周期内的全局信任值;其中,每一个本地信任值所对应的加权系数为所述对端节点在上一个统计周期内的归一化全局信任值;
在获得所有目标节点在当前统计周期内的全局信任值后,对每一个节点在当前统计周期内的全局信任值进行归一化处理,包括:对任意一个节点,将所述节点在当前统计周期内的全局信任值除以所有节点在当前统计周期内的全局信任值的和,得到的商作为所述节点在当前统计周期内的归一化全局信任值。
12.如权利要求8所述的***,其特征在于,还包括:
安全等级划分模块,用于根据节点的信任值确定节点的安全等级;
其中,所述安全等级为:危险级、一般安全级或高安全级。
13.如权利要求11所述的***,其特征在于:
调度及控制模块,用于结合查询到的信任度信息为所述用户选择提供服务的服务节点,包括:
根据服务节点的信任值和资源占用情况对能够提供服务的服务节点进行排序,根据排序结果挑选服务节点。
14.如权利要求12所述的***,其特征在于:
调度及控制模块,还用于在确定某个服务节点的安全等级为危险级时,限制所述服务节点提供服务。
CN201510083833.3A 2015-02-15 2015-02-15 一种访问控制方法和*** Active CN105991596B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201510083833.3A CN105991596B (zh) 2015-02-15 2015-02-15 一种访问控制方法和***
PCT/CN2015/093208 WO2016127664A1 (zh) 2015-02-15 2015-10-29 一种访问控制方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510083833.3A CN105991596B (zh) 2015-02-15 2015-02-15 一种访问控制方法和***

Publications (2)

Publication Number Publication Date
CN105991596A true CN105991596A (zh) 2016-10-05
CN105991596B CN105991596B (zh) 2020-11-20

Family

ID=56614117

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510083833.3A Active CN105991596B (zh) 2015-02-15 2015-02-15 一种访问控制方法和***

Country Status (2)

Country Link
CN (1) CN105991596B (zh)
WO (1) WO2016127664A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107665315A (zh) * 2017-10-31 2018-02-06 上海应用技术大学 一种适用于Hadoop的基于角色与信任的访问控制方法
CN108737138A (zh) * 2017-04-18 2018-11-02 腾讯科技(深圳)有限公司 服务提供方法及服务平台
CN110290520A (zh) * 2019-06-28 2019-09-27 苏州市职业大学 一种wsn节点的访问控制方法及相关装置
CN111124532A (zh) * 2019-11-29 2020-05-08 北京浪潮数据技术有限公司 一种服务加载方法、装置及电子设备和存储介质
CN111181979A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 访问控制方法、装置、计算机设备和计算机可读存储介质
CN111767250A (zh) * 2020-06-10 2020-10-13 钛星投资(深圳)有限公司 去中心化存储方法、下载方法及存储***
CN114650184A (zh) * 2022-04-15 2022-06-21 四川中电启明星信息技术有限公司 一种基于信任度的Docker进程安全访问控制方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101404572A (zh) * 2008-11-14 2009-04-08 西安交通大学 一种基于反馈信任聚合的网络节点总体信任度评估方法
CN101626305A (zh) * 2008-07-09 2010-01-13 同济大学 一种提高网络环境安全性的可信动态级调度方法
CN101772012A (zh) * 2009-01-04 2010-07-07 ***通信集团公司 网络节点信任度确定方法、***及装置
CN101895577A (zh) * 2010-07-06 2010-11-24 中国科学院计算技术研究所 网络共享资源的分配方法
US20120131275A1 (en) * 2010-11-18 2012-05-24 Promise Technology, Inc Network-attached storage system
CN102638795A (zh) * 2012-04-23 2012-08-15 浙江大学 可抵御攻击的分布式传感网络的信任评估方法
CN103294558A (zh) * 2013-05-29 2013-09-11 北京大学 一种支持动态信任评估的MapReduce调度方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101241528A (zh) * 2008-01-31 2008-08-13 武汉大学 终端接入可信pda的方法和接入***
CN103561047A (zh) * 2013-07-31 2014-02-05 南京理工大学 基于兴趣群组的p2p网络信任云模型计算方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101626305A (zh) * 2008-07-09 2010-01-13 同济大学 一种提高网络环境安全性的可信动态级调度方法
CN101404572A (zh) * 2008-11-14 2009-04-08 西安交通大学 一种基于反馈信任聚合的网络节点总体信任度评估方法
CN101772012A (zh) * 2009-01-04 2010-07-07 ***通信集团公司 网络节点信任度确定方法、***及装置
CN101895577A (zh) * 2010-07-06 2010-11-24 中国科学院计算技术研究所 网络共享资源的分配方法
US20120131275A1 (en) * 2010-11-18 2012-05-24 Promise Technology, Inc Network-attached storage system
CN102638795A (zh) * 2012-04-23 2012-08-15 浙江大学 可抵御攻击的分布式传感网络的信任评估方法
CN103294558A (zh) * 2013-05-29 2013-09-11 北京大学 一种支持动态信任评估的MapReduce调度方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘莎: "Hadoop云平台中基于信任的访问控制模型", 《计算机科学》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108737138A (zh) * 2017-04-18 2018-11-02 腾讯科技(深圳)有限公司 服务提供方法及服务平台
CN108737138B (zh) * 2017-04-18 2022-06-07 腾讯科技(深圳)有限公司 服务提供方法及服务平台
CN107665315A (zh) * 2017-10-31 2018-02-06 上海应用技术大学 一种适用于Hadoop的基于角色与信任的访问控制方法
CN107665315B (zh) * 2017-10-31 2020-12-15 上海应用技术大学 一种适用于Hadoop的基于角色与信任的访问控制方法
CN110290520A (zh) * 2019-06-28 2019-09-27 苏州市职业大学 一种wsn节点的访问控制方法及相关装置
CN110290520B (zh) * 2019-06-28 2021-10-08 苏州市职业大学 一种wsn节点的访问控制方法、相关装置及计算机可读存储介质
CN111124532A (zh) * 2019-11-29 2020-05-08 北京浪潮数据技术有限公司 一种服务加载方法、装置及电子设备和存储介质
CN111181979A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 访问控制方法、装置、计算机设备和计算机可读存储介质
CN111181979B (zh) * 2019-12-31 2022-06-07 奇安信科技集团股份有限公司 访问控制方法、装置、计算机设备和计算机可读存储介质
CN111767250A (zh) * 2020-06-10 2020-10-13 钛星投资(深圳)有限公司 去中心化存储方法、下载方法及存储***
CN114650184A (zh) * 2022-04-15 2022-06-21 四川中电启明星信息技术有限公司 一种基于信任度的Docker进程安全访问控制方法

Also Published As

Publication number Publication date
CN105991596B (zh) 2020-11-20
WO2016127664A1 (zh) 2016-08-18

Similar Documents

Publication Publication Date Title
CN105991596A (zh) 一种访问控制方法和***
US8462665B2 (en) Shared community storage network
CN102947797B (zh) 使用横向扩展目录特征的在线服务访问控制
EP2223258B1 (en) Network rating
CN112154468A (zh) 基于安全共识的自监控区块链背书
US20200143338A1 (en) Method for processing data and apparatuses for implementing the same
US10609087B2 (en) Systems and methods for generation and selection of access rules
RU2622883C2 (ru) Система и способ управления доступом к персональным данным пользователя
CN114363352B (zh) 基于区块链的物联网***跨链交互方法
US20200137176A1 (en) Distributed ledger for edge server management
CN108710681A (zh) 文件获取方法、装置、设备及存储介质
CN112231721B (zh) 一种上下文感知的WoT资源可信安全共享方法及***
CN110648534A (zh) 基于区块链的物联网的交通数据上链方法及设备
CN110620777A (zh) 在区块链上的物联网的烟雾监测数据上链方法及***
CN112950201A (zh) 一种应用于区块链***的节点管理方法及相关装置
CN111680282B (zh) 基于区块链网络的节点管理方法、装置、设备及介质
CN110351345B (zh) 用于业务请求处理的方法及装置
CN112511651B (zh) 一种基于区块链的服务准入方法及装置
AU2021102086A4 (en) Secure Long range device to communication method for IOT devices using low power Wide Area Network (LPWAN)
CN112202581A (zh) 群组加入方法、装置以及电子设备
CN110647769A (zh) 结合区块链的物联网的室内空气检测数据上链方法及设备
CN115176452A (zh) 通信网络中的数据管理的方法和***
CN110674219A (zh) 基于区块链的物联网的环境空气检测数据上链方法及设备
CN111275348A (zh) 电子订单信息处理方法、服务器及电子订单信息处理***
CN216673025U (zh) 机动车检测终端接入装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant