[发明专利]一种基于公钥算法和SSL协议的多集群Hadoop系统安全优化方法

权利要求书

1.一种基于公钥算法和SSL协议的多集群Hadoop系统安全优化方法，其特征在于：所述方法包括以下步骤：

步骤1：用户登录主节点时对用户进行身份信息认证；

步骤2：主节点向CA服务器申请并获得代理证书；

步骤3：主节点创建从节点列表，并确定主节点身份信息；

步骤4：主节点与从节点之间进行双向身份认证；

步骤5：多集群Hadoop系统执行用户提交的作业；

步骤6：终止用户提交的作业；

所述步骤2具体包括以下步骤：

步骤2-1：利用SSL协议完成主节点和CA服务器双向身份认证，建立经过加密的安全连接；

步骤2-2：主节点随机生成主节点密钥对{MN_Pub，MN_Prv}，主节点保留主节点私钥MN_Prv，并将主节点公钥MN_Pub发送给CA服务器，向CA服务器发送为用户实例申请代理证书的请求；

步骤2-3：CA服务器收到主节点发送的主节点公钥MN_Pub后，生成随机信息CA_Rand，并为主节点公钥MN_Pub设定存活周期；CA服务器使用数字签名为主节点的当前请求颁发代理证书，并发送给主节点；

步骤2-4：主节点收到包含有随机信息CA_Rand的代理证书后，断开与CA服务器的SSL连接；

所述步骤3包括以下步骤：

步骤3-1：主节点与从节点之间采用SSL协议建立安全连接；

步骤3-2：主节点创建用户实例的用户会话U_Session，有：

U_Session＝MD5(Username+CA_Rand)

用户实例的用户会话U_Session与主节点公钥MN_Pub具有相同的存活周期，均由CA服务器指定，并由代理证书签字；其中，Username表示用户名；

步骤3-3：根据用户对从节点的访问权限，主节点为用户实例创建从节点列表；

步骤3-4：利用主节点私钥MN_Prv对随机信息CA_Rand和用户实例的用户会话U_Session分别进行加密，得到主节点私钥加密的随机信息MN_Rand和主节点私钥加密的用户会话MN_U_Session，有：

MN_Rand＝PBA.encrypt(CA_Rand，MN_Prv)

MN_U_Session＝PBA.encrypt(U_Session，MN_Prv)

其中，PBA.encrypt()表示采用公钥加密算法的加密函数，于是，得到包括代理证书、主节点私钥加密的随机信息MN_Rand和主节点私钥加密的用户会话MN_U_Session的主节点身份信息。

2.根据权利要求1所述的基于公钥算法和SSL协议的多集群Hadoop系统安全优化方法，其特征在于：所述步骤1具体包括以下步骤：

步骤1-1：用户向多集群Hadoop系统提交作业时，输入用户身份信息{Username，Password}单点登录到主节点；

步骤1-2：多集群Hadoop系统收到用户身份信息{Username，Password}后，主节点搜索自身的用户身份信息库，检查该用户是否存在；如果用户名Username和口令Password正确，并且用户有权访问多集群Hadoop系统的资源，则表明用户通过主节点的身份信息认证，进入到步骤1-3；否则，表明用户未通过主节点的身份信息认证，主节点将向用户发送错误信息作为反馈；

步骤1-3：用户通过主节点的身份认证后，提交作业到多集群Hadoop系统，主节点接收用户提交作业，进行初始化并为用户创建用户实例；然后通知CA服务器为该用户实例颁发代理证书。

3.根据权利要求1所述的基于公钥算法和SSL协议的多集群Hadoop系统安全优化方法，其特征在于：所述代理证书包括代理证书的存活周期、CA服务器的身份ID、随机信息CA_Rand、主节点公钥MN_Pub及MN_Pub的存活周期。

4.根据权利要求1所述的基于公钥算法和SSL协议的多集群Hadoop系统安全优化方法，其特征在于：所述步骤4中，主节点与从节点之间进行双向身份认证，包括以下步骤：

步骤4-1：第一次握手，从节点对主节点进行身份认证；

步骤4-2：第二次握手，主节点对从节点进行身份认证；

步骤4-3：第三次握手，主节点发送确认信息给从节点。