一种基于大数据平台的统一用户认证授权的实现方法及系统

摘要

本发明公开了一种基于大数据平台的统一用户认证授权的实现方法及系统，属于大数据应用领域，本发明要解决的技术问题为如何能够实现大数据平台下分布式用户管理、认证和授权，从而对用户和访问权限做统一管理，有效保护敏感数据，同时为用户、权限管理和核心数据提供审计功能，采用的技术方案为：该方法包括如下步骤：（1）、统一用户管理：为整个大数据平台建立统一的用户管理中心，用以存储用户名、密码、用户信息以及所在组的信息；同时用户管理中心底层依赖票据管理服务，通过调用依赖票据管理服务的相关接口为每个用户创建对应票据；（2）、票据管理、统一存储及安全传输；（3）、分布式用户管理与组映射；（4）、统一权限管理。

说明书

技术领域

本发明涉及大数据应用领域，具体地说是一种基于大数据平台的统一用户认证授权的实现方法及系统。

背景技术

大数据技术：大数据（big data），指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。大数据技术的战略意义不在于掌握庞大的数据信息，而在于对这些含有意义的数据进行专业化处理。换而言之，如果把大数据比作一种产业，那么这种产业实现盈利的关键，在于提高对数据的“加工能力”，通过“加工”实现数据的“增值”。

身份验证技术：身份认证也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。

kerberos协议：其设计目标是通过密钥系统为客户机/服务器应用程序提供认证服务。认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。

多租户技术：或称多重租赁技术，是一种软件架构技术，它是在探讨与实现如何于多用户的环境下共用相同的系统或程序组件，并且仍可确保各用户间数据的隔离性。

随着大数据技术日臻成熟，其在政府、企业等得到了越来越广泛的应用。传统应用正逐步与大数据平台进行集成和整合，包括业务数据、交易数据、用户数据、日志、历史数据等多种类型的数据被逐步导入到大数据平台中并进行分析与预测。随着导入数据的种类越来越多，数据量级越来越大，大数据平台中涉及的数据也越发敏感，数据安全变得尤为重要。目前大数据组件间各自为战，缺乏统一的安全认证及授权体系，无法适应传统政府、企业中用户、权限管理复杂及多租户需求。

发明内容

本发明的技术任务是提供一种基于大数据平台的统一用户认证授权的实现方法及系统，来解决如何能够实现大数据平台下分布式用户管理、认证和授权，从而对用户和访问权限做统一管理，有效保护敏感数据，同时为用户、权限管理和核心数据提供审计功能的问题。

本发明的技术任务是按以下方式实现的，一种基于大数据平台的统一用户认证授权的实现方法，该方法包括如下步骤：

（1）、统一用户管理：为整个大数据平台建立统一的用户管理中心，用以存储用户名、密码、用户信息以及所在组的信息；同时用户管理中心底层依赖票据管理服务，通过调用依赖票据管理服务的相关接口为每个用户创建对应票据；

（2）、票据管理、统一存储及安全传输：用户管理中心创建用户后调用票据管理服务，建立相关的用户票据，并为用户分配适当的票据管理权限；同时为每个用户生成票据文件并存储在票据管理中心，票据管理中心负责票据文件的统一存储、分发及安全传输；

（3）、分布式用户管理与组映射：在大数据平台上，任务执行用户采用分布式管理，任务执行用户最终需要映射到主机对应用户及组上，在各个主机上部署用户管理agent，用以统一用户的创建、删除、组映射及管理的工作；各个主机上的用户管理agent以心跳的形式向用户管理中心报告本机用户信息，用户管理中心核实用户信息，并向各个agent反馈对应操作；

（4）、统一权限管理：在大数据平台中，各个大数据组件都有自己的权限管理模式及方法，用户管理中心为各种管理模式建立适当的抽象，并为各种大数据组件建立统一的权限管理模型；通过向各个大数据组件中插入插件的模式，实现权限的统一管理；大数据组件权限管理插件定期向用户中心发出请求，获取用户的最新权限，并在本地进行缓存；当用户调用相关大数据组件的服务时，首先核对用户信息与本地权限缓存，并根据权限规则作出相关处理。

一种基于大数据平台的统一用户认证授权系统，该系统包括用户管理中心、票据管理中心和主机，用户管理中心连接票据管理中心，票据管理中心连接主机；

其中，用户管理中心负责存储用户名、密码、用户信息以及所在组的信息；

票据管理中心用于负责票据文件的统一存储、分发及安全传输；

主机用于通过用户消息队列向用户管理中心传输用户信息，用户管理中心根据用户信息管理主机的权限。

作为优选，所述主机内部署用户管理agent，用于同一用户的创建、删除、组映射以及管理的工作。

作为优选，所述主机内部部署大数据组件，大数据组件中插入插件，通过插件实现用户权限的统一管理。

本发明的基于大数据平台的统一用户认证授权的实现方法及系统具有以下优点：

1、本发明解决大数据平台统一用户管理及认证问题，为大数据平台建立统一的用户管理，并保证在分布式平台上用户的同步；还解决大数据平台统一权限管理，为各种大数据组件建立统一的用户权限管理模型，实现用户权限的统一管理；

2、本发明有效实现了用户统一的管理，包括用户名、密码以及票据、用户票据的统一存储与安全传输、统一用户组关联、用户组与权限管理以及大数据组件插件，同步用户权限同步；同时确保对用户以及访问权限做统一管理，有效保护敏感数据，并为用户、权限管理、核心数据提供审计功能；

3、本发明通过对用户进行统一管理，并为用户创建对应的票据并实现统一管理；在分布式的各个主机上，通过agent保证用户的一致性及同步性；定期获取主机的用户信息，并对用户进行统一管理；在权限管理方面，为各种大数据组件建立统一的用户管理模型，通过向各个大数据组件插入插件，实现组件的权限控制。

本发明具有设计合理、结构简单、使用方便、一物多用等特点，因而，具有很好的推广使用价值。

附图说明

下面结合附图对本发明进一步说明。

附图1为基于大数据平台的统一用户认证授权系统的结构框图。

具体实施方式

参照说明书附图和具体实施例对本发明的基于大数据平台的统一用户认证授权的实现方法及系统作以下详细地说明。

实施例1：

本发明的基于大数据平台的统一用户认证授权的实现方法及系统, 该方法包括如下步骤：

（1）、统一用户管理：为整个大数据平台建立统一的用户管理中心，用以存储用户名、密码、用户信息以及所在组的信息；同时用户管理中心底层依赖票据管理服务，通过调用依赖票据管理服务的相关接口为每个用户创建对应票据；

（2）、票据管理、统一存储及安全传输：用户管理中心创建用户后调用票据管理服务，建立相关的用户票据，并为用户分配适当的票据管理权限；同时为每个用户生成票据文件并存储在票据管理中心，票据管理中心负责票据文件的统一存储、分发及安全传输；

（3）、分布式用户管理与组映射：在大数据平台上，任务执行用户采用分布式管理，任务执行用户最终需要映射到主机对应用户及组上，在各个主机上部署用户管理agent，用以统一用户的创建、删除、组映射及管理的工作；各个主机上的用户管理agent以心跳的形式向用户管理中心报告本机用户信息，用户管理中心核实用户信息，并向各个agent反馈对应操作；

（4）、统一权限管理：在大数据平台中，各个大数据组件都有自己的权限管理模式及方法，用户管理中心为各种管理模式建立适当的抽象，并为各种大数据组件建立统一的权限管理模型；通过向各个大数据组件中插入插件的模式，实现权限的统一管理；大数据组件权限管理插件定期向用户中心发出请求，获取用户的最新权限，并在本地进行缓存；当用户调用相关大数据组件的服务时，首先核对用户信息与本地权限缓存，并根据权限规则作出相关处理。

实施例2：

如附图1所示，本发明的基于大数据平台的统一用户认证授权系统，该系统包括用户管理中心、票据管理中心和主机，用户管理中心连接票据管理中心，票据管理中心连接主机；其中，用户管理中心负责存储用户名、密码、用户信息以及所在组的信息；票据管理中心用于负责票据文件的统一存储、分发及安全传输；主机用于通过用户消息队列向用户管理中心传输用户信息，用户管理中心根据用户信息管理主机的权限。主机内部署用户管理agent，用于同一用户的创建、删除、组映射以及管理的工作。主机内部部署大数据组件，大数据组件中插入插件，通过插件实现用户权限的统一管理。

该系统的工作步骤如下：

（1）、用户管理中心创建并分发票据到票据管理中心；

（2）、票据管理中心通过局域SSL协议推送票据文件到主机的大数据组件；

（3）、主机推送用户及组信息到用户消息队列；

（4）、用户管理中心获取用户消息队列中用户及组信息，并根据用户及组信息管理权限管理消息队列；

（5）、主机从权限管理消息队列中获取权限信息。

通过上面具体实施方式，所述技术领域的技术人员可容易的实现本发明。但是应当理解，本发明并不限于上述的两种具体实施方式。在公开的实施方式的基础上，所述技术领域的技术人员可任意组合不同的技术特征，从而实现不同的技术方案。

除说明书所述的技术特征外，均为本专业技术人员的已知技术。