基于用户行为评估的Hadoop平台安全访问控制机制研究
这是一篇关于云平台,Kerberos,Hadoop,用户行为,访问控制,并行指令序列学习,安全性的论文, 主要内容为Hadoop作为开源分布式计算云平台,以其特有的高可靠性、高扩展性、高效性和高容错性等优点,得到了各大电商及互联网企业的广泛应用,与此同时其安全问题也日益突出。在众多的云安全问题中,数据安全是云安全的核心问题之一。访问控制技术通过限制用户对数据信息的访问能力及范围从而保证资源不被非法使用和访问,成为云平台中数据安全的重要保障,目前对云平台安全访问控制机制的研究已成为热点。本文在对现有Hadoop平台安全机制进行研究的基础上,针对其访问控制机制设计上没有考虑用户的正常或异常属性变化、缺乏动态性等缺陷,结合Hadoop现有机制,提出一种基于用户行为评估的Hadoop云平台动态访问控制(dynamic access control based on user behavior assessment,DACUBA)模型,通过对云平台用户指令行为进行实时监控和评估,动态调整用户的访问权限,提高云平台的安全性。首先,对现有Hadoop平台安全机制进行分析,提出DACUBA模型,结合Hadoop现有访问控制机制,对DACUBA模型的访问控制元素、规则及过程进行设计,引入用户行为评估概念;然后,根据用户行为评估的规则,提出一种用户行为评估方法,采用并行指令序列学习(parallel command sequence learning,PCSL)算法提取用户指令行为轮廓,建立全局K模型模式库对用户指令行为序列进行分类,设计评估公式利用行为分类结果计算用户综合评估值;最后,基于以上理论在Hadoop源码基础上对DACUBA模型进行了原型系统的设计与实现。在实验室环境下搭建Hadoop实验平台,利用改进后的Schonlau数据集对DACUBA模型进行行为分类、行为评估、可行性、有效性及性能开销实验验证。实验结果表明,该模型的行为分类方法准确率较高且评估方法较为合理,时间和性能开销较小,该模型访问控制策略能够有效地与行为评估算法结合实现对云平台用户的动态访问控制。
基于改进型Kerberos协议的单点登录技术研究
这是一篇关于单点登录,Kerberos,身份认证,轻量级票据的论文, 主要内容为随着信息化进程的飞速发展,企业中有着形式各样的开发于不同时期的业务应用系统。这些独立的业务应用系统有着自己各异的认证和授权模块,因此在实际使用中给需要访问多个不同应用系统的用户带来了不小的麻烦,同时也加大了用户密码丢失的风险。在这种情况下,开发一种能够让用户只需一次登录便可以访问所有授权的应用系统的技术便显得迫在眉睫,单点登录技术在这种背景下应运而生。 本文研究了一套企业门户资源管理系统的单点登录需求,用户在门户上进行一次身份认证之后,便可以访问所有授权的业务应用系统资源。重点分析了单点登录及其相关技术,阐释了Kerberos协议所存在的安全性隐患和缺点,并在传统型Kerberos协议基础上提出了一个改进型的Kerberos单点登录模型。改进后的Kerberos协议模型中加入了双因素认证和轻量级票据等技术,大大提高了系统的安全性。 根据现代企业的实际需要,本文在改进型的Kerberos协议模型基础上,设计出了一个单点登录系统,该系统的主要功能如下: ①统一身份认证。 ②集中授权。 ③用户管理。 ④应用系统管理。 本文在J2EE平台上实现了该系统。系统通过建立CA负责用户数字证书的签发和公钥/私钥对的生成,同时用户的数字证书和私钥储存在用户所持有的USBKey中,用户数字证书的副本存于系统的LDAP目录服务器中;系统通过Web Service所提供的接口用于统一身份认证。 通过测试,本系统能够满足企业的实际需求,是实现单点登录的一个比较出色的解决方案。
基于CAS的Web单点登录系统的应用研究
这是一篇关于单点登录系统,CAS,J2EE,Kerberos,SSL的论文, 主要内容为随着信息系统在企业中的广泛应用,各个企业都建立起来了自己的企业门户应用,并且通过企业级门户对企业内部应用系统进行应用集成和整合,从而方便信息系统的使用。然而所有不同的应用系统都有着各自的身份认证方式。这样,用户在登录每个应用系统时,这些应用系统都需要对用户进行身份认证,这种方式的弊端显而易见。首先,每个应用系统都需要有各自的认证数据库,用于存储用户的认证信息,导致用户需要记住每个应用系统的用户账户、密码等认证信息。其次,增加了系统管理员的维护工作,并且增加了系统的开销。为了解决这些问题,单点登录技术应运而生。单点登录系统提供给企业应用一个统一的身份认证机制和访问入口,并且对用户信息进行统一的管理,使用户只拥有一套账户和密码,便可实现对门户中所有被授权应用的访问。这样,不但减轻了系统管理员的工作负担,同时也减少了用于重复认证所带来的系统开销。 本文以云南省航务海事管理局综合业务平台为实例,结合航务海事综合业务平台庞大和复杂的体系结构,根据业务需求,对单点登录系统进行了分析和设计。目的是为了给航务海事综合业务平台提供一个统一的用户管理和认证接口,使用户管理与用户身份认证服务从业务系统中分离出来,优化航务海事综合业务平台的体系结构。 通过对单点登录技术的研究,本文采用了耶鲁大学的Java开源项目CAS认证模型,并对模型存在的缺陷进行了分析,提出了基于CAS的Web单点登录改进模型。改进模型增加了Kerberos认证机制,加强了单点登录过程中CAS服务器与用户认证数据库之间数据传输的安全性,并通过SSL安全套接字层建立CAS服务器、应用系统和用户浏览器之间的安全连接,从而进一步加强票据信息传输的安全性。此外,本文研究的单点登录系统在系统实现方面,采用了J2EE开发架构,并结合Web Work、Spring和Hibernate等轻量级框架,将系统分为表示层、业务逻辑层和数据持久层三层,降低了系统的耦合性,使系统开发更为合理。
基于改进型Kerberos协议的单点登录技术研究
这是一篇关于单点登录,Kerberos,身份认证,轻量级票据的论文, 主要内容为随着信息化进程的飞速发展,企业中有着形式各样的开发于不同时期的业务应用系统。这些独立的业务应用系统有着自己各异的认证和授权模块,因此在实际使用中给需要访问多个不同应用系统的用户带来了不小的麻烦,同时也加大了用户密码丢失的风险。在这种情况下,开发一种能够让用户只需一次登录便可以访问所有授权的应用系统的技术便显得迫在眉睫,单点登录技术在这种背景下应运而生。 本文研究了一套企业门户资源管理系统的单点登录需求,用户在门户上进行一次身份认证之后,便可以访问所有授权的业务应用系统资源。重点分析了单点登录及其相关技术,阐释了Kerberos协议所存在的安全性隐患和缺点,并在传统型Kerberos协议基础上提出了一个改进型的Kerberos单点登录模型。改进后的Kerberos协议模型中加入了双因素认证和轻量级票据等技术,大大提高了系统的安全性。 根据现代企业的实际需要,本文在改进型的Kerberos协议模型基础上,设计出了一个单点登录系统,该系统的主要功能如下: ①统一身份认证。 ②集中授权。 ③用户管理。 ④应用系统管理。 本文在J2EE平台上实现了该系统。系统通过建立CA负责用户数字证书的签发和公钥/私钥对的生成,同时用户的数字证书和私钥储存在用户所持有的USBKey中,用户数字证书的副本存于系统的LDAP目录服务器中;系统通过Web Service所提供的接口用于统一身份认证。 通过测试,本系统能够满足企业的实际需求,是实现单点登录的一个比较出色的解决方案。
基于Kerberos+SSL的企业数据安全传输系统的设计与实现
这是一篇关于Kerberos,SSL,身份认证,网络安全的论文, 主要内容为随着网络技术的飞速发展和计算机应用的普及,人们的生活方式和工作模式都在渐渐的发生着改变。网络环境为人们的交流、资源的共享和生活提供了便利的条件。但随着网络带给我们便利的同时,网络安全问题也随之而来,恶意软件和黑客行为对人们的网络活动产生了严重的影响。由于经济利益的驱使,银行、金融和企业机构是网络攻击的重点。因此,如何在互联网上保证信息能够安全、可靠的在通信双方之间传输是大家一直关注的一个问题。 根据现今一些企业和公司的分布情况和业务交流的需求,本文设计了一种适用于分布式工作模式的企业数据安全传输系统来为企业总公司和分公司之间的业务交流和信息交互提供一个安全、可靠的平台。在系统的安全协议的选择上,文中对比了当前的一些安全协议,通过比较本文选择使用SSL协议来作为系统通信的安全协议。通过对SSL协议的安全性能进行分析,虽然SSL协议适用于对网络传输的保护,但SSL协议的认证机制中仍存在着一些安全隐患,它无法提供完备的防抵赖功能,容易受到重放攻击和中间人攻击的威胁,从而被攻击者利用这些漏洞对信息传输进行攻击。通过所掌握的知识,文中对SSL协议提出了一种改进方案,使用Kerberos身份认证机制来对SSL握手协议的认证机制加以改进,并使用改进后的SSL协议作为系统的安全传输协议。 系统结构的设计采用了目前流行的B/S模式架构,使用Web浏览器作为客户端,将系统功能实现的核心部分集中在服务器端的应用服务器上。采用B/S结构的优势在于易于维护和升级方式简单,所有的操作只需要针对服务器进行,并且有着更加丰富和生动的表现方式与用户交流。系统服务器端主要功能的实现是在Eclipse集成开发环境中使用Java语言来进行开发,开发时使用了Servlet技术和JSP技术。 为了证明SSL握手协议的改进方案的有效性,文中通过使用企业数据安全传输系统进行了测试,结果证明SSL握手协议的改进方案是实际可行的。最后提出目前系统中尚且存在的不足,为后续的工作指明了方向。
本文内容包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主题。发布者:代码港湾 ,原文地址:https://bishedaima.com/lunwen/52095.html