Laxcus大数据管理系统2.0(10)- 第八章 安全
第八章 安全
由于安全问题对大数据系统乃至当前社会的重要性,我们在Laxcus 2.0版本实现了全体系的安全管理策略。同时我们也考虑到系统的不同环节对安全管理的需求是不一样的,所以有选择地做了不同的安全设计和处理。图8是Laxcus安全管理架构,首先使用SHA1签名获得基本确认,然后在FIXP网络层面,数据通信采用RSA加密,后面分别是对称加密、系统安全策略、签名、用户安全策略。SHA1是一种数字签名,可以保证网络间传输的内容正确性,RSA是目前安全度最高的加密手段,对称加密则次之,系统安全策略包含了为不同节点和各种服务设计的安全验证,签名是系统判断每个登录账号的合法性,用户安全策略赋与了用户自定义安全规则的能力,应用于用户自己的分布任务组件和数据存取上,有助于强化数据处理过程中,用户的数据安全。
上述安全管理措施非常繁多,但是其实都是围绕着两个目标进行:防窃取和防篡改。因为考虑到安全管理对数据处理业务的影响(RSA计算就对CPU的占用比率非常高),所以在系统的某些层面,安全管理被设置为可选项,决定权交给集群管理者和用户自己处理。例如在内网通信中,由于内网的安全保障程度比较高,而且内网的数据传输量又非常大,几乎所有网络计算都在内网中进行。在这种情况下,为了给数据处理是腾出基础资源,提高处理效率,可以酌情选择省略掉部分安全管理。
本章将依循Laxcus大数据系统架构,阐述每个层面的安全管理。
图8 Laxcus安全管理架构
8.1 环境安全
在架构设计上,Laxcus被分为彼此隔绝的内外两个网络环境。内部网络的拓扑结构对外保密,网络地址一般是采用TCP/IP协议中的内网地址(10.0.0.0 - 10.255.255.255、172.16.0.0 - 172.31.255.255、192.168.0.0 - 192.168.255.255),它们由专业的集群管理人员来管理和维护,被认为是“安全”的。外网由普通的注册用户来管理,不在集群管理人员的可控制范围内,来源可以是互联网或者VPN的连接,他们属于低可信度用户,被认为是“不安全”的。网关节点位于它们之间,除了起到沟通双方的连接和分解任务压力的作用外,更主要是接受外部网络请求的同时,可以屏蔽内部网络拓扑结构,使内部网络有一个相对安全的运行环境,防范可能遭到的网络攻击。
虽然运行环境提供了这样的安全设计,但是在部署集群时,仍然需要集群的组织管理人员遵守设计规定。集群运行过程中,管理人员也应该具备安全管理常识,这是需要相互配合的工作。在这个的架构安全基础上,还有后续一系列的安全管理措施,使集群被攻击的可能性进一步降低。
8.2 通信安全
节点同时具有客户机/服务器的双重身份。在每一次网络通信开始时,为了确保客户机是可以信任的,服务器会要求客户机出示通信安全凭证。这个凭证将保证双方在安全的状态下通信。
通信安全凭证在FIXP服务器上配置,里面保存了客户机必须出示的信息。安全通信类型分为三种:地址验证、账号验证、地址/账号复合验证。当服务器要求出示安全凭证时,客户机必须遵守这个协定,向服务器出示自己的安全凭证,否则通信将被服务器中止。客户机也可以主动向服务器要求安全校验,每次服务器都会接受的。
通过安全凭证检测后,可以确定网络两端间传输的数据是正确和可信任的,这样就为后续的数据处理提供了一个基本的安全保障。
使用中也有例外,例如上面提到的内网通信。因为内部网络相对公共网络,它的安全度和信任度颇高,而通信安全项除了地址验证外,其他两种都需要执行消耗CPU的计算,这会造成数据处理的延迟,对大规模、高密度的网络计算来说显得得不偿失。所以,一般的建议是,在穿越VPN或者互联网的通信双方,应该启用安全通信;在信任度高的内部网络,这项工作可以选择地址验证,或者忽略。
8.3 节点准入制度
在Laxcus集群里,一个节点若要向另一个节点发起命令请求,必须首先以客户机的身份登录它的服务器节点,客户机发出的每一条命令,都要接受服务器的验证和检查,这就是节点准入制度。
节点准入制度是在安全通信之后,为各节点间的连接和操作定义的一套安全措施。在这个层面上,能够保证各节点之间的连接都是正确的,被传输的命令也在监管范围内。
比如,Aid节点只能连接Top节点,连接Home节点就是非法的。Front节点必须先向Call节点注册,才能得到命令操作许可。Call节点只能向Data节点发出SQL SELECT命令,向任何其它节点发出这道命令都会遭到拒绝。
我们对不同节点的节点准入制度有一套详细的规定,在此就不赘述。由于这个规定准确定义了它们之间的请求、受理范围、命令许可,使得每个节点和每一道命令在运行过程中都接受检查,杜绝了一切可能的非法连接和操作。
8.4 用户账号安全
用户登录使用Front节点。无论用户是以终端的交互方式还是驱动程序的嵌入方式接入Laxcus集群,系统都要求用户提供一个登录账号,确认用户是可信的。Laxcus账号由用户名称和密码组成,每一个账号必须由系统管理员建立,账号的用户名和密码会被计算机计算为SHA1算法的散列码,再通过网络上传到Top节点,保存到数据字典里,供后续使用。
账号的用户名是系统唯一的,一经建立不能修改。当系统管理员建立账号后,会通过其它渠道将账号的明文转交给账号持有人。账号持有人拥有修改账号密码的权利,通常账号持人会修改系统管理员设置的密码。
特别注意,在建立、修改和使用账号登录的过程中,账号的明文只出现在用户的计算机屏幕上或者用户的驱动程序里,不会出现在网络传输的任何环节。Top节点保存的只是账号明文的SHA1算法散列码,由于SHA1算法逆向破解的难度,使得获取账号明文的可能性极小。这样就使得账号在产生和使用过程中拥有极大的安全性。
另外,用户登录除了需要提供登录账号外,还必须持有一个系统管理员颁发的安全许可证书。这是一个经过RSA算法签名的文件,由系统管理员建立和保管。用户登录时首先出示这个证书,服务器会检查证书的有效性,确定证书有效和登录者可信后,再执行账号检查,进一步判断账号的正确性和操作范围,决定是接受还是拒绝。
这样,实际上每一个用户的登录过程都是RSA和SHA1的组合,首先用SHA1对账号进行签名,然后用RSA进行传输和校验。因为这是进入集群的第一阶段,必须保证有足够的安全强度。这种双保险措施保证了每一个登录用户的可信性。
登录成功后,双方进入正式的通信状态。我们通常要求数据经过加密或者签名处理。目前提供的加密和签名算法有:AES、DES、3DES、MD5、SHA1等。这些算法和密码会随着通信过程自动变换,使得窥密者短时间内难以获得明文,这又进一步提高了交互双方的数据安全。
综上所述,用户进入Laxcus集群依次有三道安全门槛:RSA、用户账号、对称加密或者数字签名,前两种保证用户登录时的安全,后一种保证登录后数据内容的安全。
8.5 用户权限管理
用户使用FRONT节点登录,只是拥有了进入集群的权利。若要获得数据处理能力,还需要获得进一步的数据操作权限。
数据操作权限也是由管理员来授权。数据操作权限从高到低分为三级:用户级、数据库级、表级。每一个级别有多个操作选项,部分选项会在多个级别存在,对于这类同质选项,上一级操作权限默认高于下一级操作权限。例如SQL“SELECT”操作权限,用户级“SELECT”高于数据库级”SELECT“,数据库级”SELECT“又高于表级“SELECT”。
由管理员分配的数据操作权限也可以被管理员回收。权限回收后将立即生效,超过权限的数据请求在此之后将被拒绝。
通过用户权限管理,管理员可以把用户的数据处理操作控制在规定的范围内,杜绝用户可能的越权操作。
8.6 私有业务安全
私有业务即是用户的数据业务,这一块的安全管理全权交给用户处理。在这个层面,用户可以自由组织自己的数据内容和数据格式。组织方式分成两种:1.用系统提供的可类化接口,在发送前,把数据按照自己理解的数据格式,用各种方式编排在一起,在接收后,再重新拆解。可类化接口中的“ClassWriter、ClassReader”同时提供加密/解密功能,进一步提高了安全能力。这样在数据传输过程中,由于格式和内容都经过了处理,破解就变得很困难。至于密码,可以放在外界难以窥测到的地方,比如命令自定义参数的某个位置,或者集群的数据字典里。
数据表中的数组数据,在生成时就可以通过系统提供的“Packing“接口加密。这样内容在生成就已经处理过,只是在显示的时候被解开,重新以明文格式出现,中间过程都是以密文的形式存在。在不掌握密码的情况下,外界也是无从窥视。
图8.6.1 可类化接口函数
8.7 分布任务组件安全
分布任务组件的安全由沙箱来保证。沙箱(sandbox)是一种可以限制程序操作范围和处理能力的容器,现在已经集成到Laxcus大数据管理系统里。所有处于运行状态的分布任务组件,都被放置到沙箱里运行。
将分布任务组件置于沙箱里运行的根本原因在于:分布任务组件来源于用户,从保守的安全角度考虑,我们无法预先判断每个分布任务组件都是善意和可以信任的,不会在他们的程序里含有恶意代码,那么从统一处理的原则出发,我们就假定这些分布任务组件都是不安全的,需要在它们运行过程中,对它们进行约束和限制,以防止各种可能危害系统或者其它分布任务组件的事情发生。
在沙箱里运行的分布任务组件,它们的操作权限受到沙箱严格监管,只能“读、写、删除”规定目录下面的文件,或者获取规定的系统属性,其它操作都被排除在外。运行过程中,分布任务组件发出的每个操作请求都会首先传到沙箱进行安全检查,当发现操作超出许可范围时,沙箱将拒绝执行,以保证运行环境安全。
沙箱的安全检查项目被放在安全策略文件中,在系统启动时加载。修改安全策略文件是很容易的,不过这属于集群管理员的职责,普通用户没有这个能力。
图8.7.1 沙箱安全策略选项
8.8 数据块安全
数据块的安全依赖于对数据的签名。当数据块从Cache状态转向Chunk状态过程中,系统会计算这个数据块的数据内容,生成一个256位的Laxcus签名,做为校验码保存到数据块里。产生数据块的签名过程很快,一个64M的数据块签名生成时间,在Pentium4 2.0G的计算机上,通常在10毫秒左右。
当Data节点重新启动,或者数据块被加载到内存,或者通过网络传输到另一个Data节点,系统会重新根据数据内容再次生成一个校验码,与已经存在的校验码进行比较,确认数据的完整性,以保证后续数据处理的数据本身是正确的。
8.9 DSM/NSM安全
数据块从Cache状态转入到Chunk状态过程中,除了生成数据块签名,还会根据数据块的存储模型,针对每一行或者每一列集合,生成它们的CRC32校验码,并且保存在记录的开始位置。
设置行/列集校验码的原因是,因为整块的数据不会被经常调用,而行/列集的数据却总是在网络上大量、频繁传递,这就使得行/列集的数据校验更有实际意义。
然而相较于少量的数据块签名计算,被传输的行/列集因为粒度细、数据量大、校验次数频繁,计算持续时间也会更长,这将消耗大量计算资源,影响到网络计算的处理效率。所以,通常任务请求方在收到计算结果后,会根据数据的来源来选择是否检测。如果是内网数据,由于网络安全度高,这个校验可以被忽略。
Laxcus大数据管理系统2.0(10)- 第八章 安全的更多相关文章
- Laxcus大数据管理系统2.0(5)- 第二章 数据组织
第二章 数据组织 在数据的组织结构设计上,Laxcus严格遵循数据和数据描述分离的原则,这个理念与关系数据库完全一致.在此基础上,为了保证大规模数据存取和计算的需要,我们设计了大量新的数据处理技术.同 ...
- Laxcus大数据管理系统2.0(3)- 第一章 基础概述 1.2 产品特点
1.2 产品特点 Laxcus大数据管理系统运行在计算机集群上,特别强调软件对分布资源可随机增减的适应性.这种运行过程中数据动态波动和需要瞬时感知的特点,完全不同与传统的集中处理模式.这个特性衍生出一 ...
- Laxcus大数据管理系统2.0 (1) - 摘要和目录
Laxcus大数据管理系统 (version 2.0) Laxcus大数据实验室 摘要 Laxcus是Laxcus大数据实验室全体系全功能设计研发的多用户多集群大数据管理系统,支持一到百万台级节点,提 ...
- Laxcus大数据管理系统2.0(9)- 第七章 分布任务组件
第七章 分布任务组件 Laxcus 2.0版本的分布任务组件,是在1.x版本的基础上,重新整合中间件和分布计算技术,按照新增加的功能,设计的一套新的.分布状态下运行的数据计算组件和数据构建组件,以及依 ...
- Laxcus大数据管理系统2.0(8)- 第六章 网络通信
第六章 网络通信 Laxcus大数据管理系统网络建立在TCP/IP网络之上,从2.0版本开始,同时支持IPv4和IPv6两种网络地址.网络通信是Laxcus体系里最基础和重要的一环,为了能够利用有限的 ...
- Laxcus大数据管理系统2.0(6)- 第四章 数据计算
第四章 数据计算 Laxcus所有数据计算工作都是通过网络实施.相较于集中计算,在网络间进行的数据计算更适合处理那些数据量大.复杂的.耗时长的计算任务.能够实施网络计算的前提是数据可以被分割,就是把一 ...
- Laxcus大数据管理系统2.0(14)- 后记
后记 Laxcus最早源于一个失败的搜索引擎项目,项目最后虽然终止了,但是项目中的部分技术,包括FIXP协议.Diffuse/Converge算法.以及很多新的数据处理理念却得以保留下来,这些成为后来 ...
- Laxcus大数据管理系统2.0(12)- 第十章 运行
第十章 运行 本章将介绍一些Laxcus集群基本运行.使用情况,结合图片和表格表示.地点是我们的大数据实验室,使用我们的实验集群.数据来自于我们的合作伙伴,软件平台混合了Windows和Fedora ...
- Laxcus大数据管理系统2.0(11)- 第九章 容错
第九章 容错 在当前,由于集群庞大的组织体系和复杂性,以及用户普遍要求低成本硬件,使得集群在运行过程中发生的错误概率,远远高于单一且性能稳定的小型机服务器,并且集群在运行过程中几乎是不允许停止的,这就 ...
随机推荐
- CK方程
上文中,“到时间n为止进入任意一个特定的状态集合”应理解为“在时间n及之前进入的都算”. 只要进入了该状态集合,之后是否离开已经不重要了.这个可类比于“先赢若干局”的赌徒问题:即使在赢得若干局后继续赌 ...
- html中div定位练习
html中div定位练习,实现简单的计划列表: 记录div定位时主要的属性:float.position等,以及对应的relative和absolute等,同时使用到angular js中的数据绑定, ...
- 黄聪:如何阻止iframe里引用的网页自动跳转
今天做了个网页,要在网页里设置一个iframe,然后套用其他的网站.使用http://luanqi-cat.blogbus.com 这个网址的时候,出现了莫名其妙的问题,我的网页居然会强制自动跳转到这 ...
- 黄聪:C#中WebClient自动判断编码是UTF-8还是GBK,并且有超时判断功能
public class WebDownload : WebClient { private int _timeout; /// <summary> /// 超时时间(毫秒) /// &l ...
- (C/C++) Interview in English - Class
Q: What is a class? A: A class is an expanded concept of a data structure: instead of holding only d ...
- (C#) 发布程序,包含某些配置文件或数据文件。
在VS2012里面,右击需要发布的Project,选择“Properties“, 在弹出的窗口里面点选”Publish“, 再点击”Application Files“, 将默认的Publish St ...
- ADF_Tutorials系列17_ADF Faces_ADF预定义组件的创建和使用
2013-05-01 Created By BaoXinjian
- PLSQL_查询已执行SQL的绑定参数(案例)
2014-12-19 Created By BaoXinjian
- API 双方认证探讨
开放 api 已是大势所趋.而 api 这种东西有个特点就是覆水难收.一旦公开出去了,被大量用户使用,一旦修改,就会让广大用户都掉坑里.所以,api 在设计之初就要尽量考虑周全,并预留扩展可能. 目前 ...
- Plan9 与 Plan9port
Plan9 Plan9 是一个操作系统.由贝尔实验室开发的,其主要的负责人是Rob Pike(现在在google工作,负责Go语言的开发). 参考:http://www.cnblogs.com/yjf ...