[发明专利]一种基于加密技术的HBase细粒度访问控制方法

说明书

本发明属于访问控制技术领域中的细粒度访问控制策略的设计，具体涉及一种基于加密技术的HBase细粒度访问控制方法。本发明利用HBase构建了一种以个人用户ID为主键进行存储的数据结构表；用户将个人数据分为三个安全等级进行存储，并针对不同的安全等级设计不同的加密算法；本发明设计了一种用户对于个人数据实现细粒度访问控制的方法，细粒度精确到cell级；同时本发明支持用户个人数据安全等级的动态更新。本发明充分考虑了个人数据存储和访问对数据主权明确、细粒度访问控制、动态更新安全级别等方面的要求。方法采用了现有的加密和访问技术，简单明了，具有很强的实用性。

技术领域

本发明属于访问控制技术领域中的细粒度访问控制策略的设计，更具体地，涉及一种基于加密技术的HBase细粒度访问控制方法。

背景技术

随着互联网以及信息技术的不断发展，人们迎来了海量数据化的时代，各种各样的信息都被数据化，其中个人数据是移动互联网时代呈现指数增长的数据资产。然而在这种趋势下，个人数据已不再仅仅关系型数据库模型下的结构化的数据，大量的图片、音频、视频等非结构化的数据涌现出来。

现有的主流数据库管理技术主要为关系型数据库管理技术，操作的对象都是二维表，其结构简单，处理的都是结构化的数据。然而在处理新形势下不断涌现的结构化与非结构并存的个人数据时，现有的关系型数据库管理方式就暴露出了弊端。同时现有的数据管理技术基本存在着数据主权边界不明确、数据流动散乱以及数据安全等问题。要想改变现有数据管理技术存在的这些缺点，必须使用新型的非关系型数据库技术。

解决个人数据中结构化数据与非结构化数据并存时关系型数据库难以管理的最有效措施就是使用非关系型数据库。非关系型数据库中如今发展最成熟、应用最广的便是HBase数据库。HBase数据库是一种构建在HDFS文件存储上的分布式、面向列和稀疏存储的数据存储系统，该技术最早出现于Google的一篇论文“Bigtable:A Distributed StorageSystem”中，它的存储不同于传统关系型数据库的按行存储，它以列为对象进行存储，具有线性扩展、面向列存储、字典排序、高可靠性和优质缓存等优点。然而在细粒度访问控制方面，传统的访问控制技术不能很好的适应HBase数据库。

传统的访问控制技术主要有自主访问控制，强制访问控制和基于角色的访问控制。自主访问控制(discretionary access control，DAC)是由客体的属于者对自己的客体进行管理，由属于者决定是否将客体的访问权或部分访问权授予其他主体，这种控制方式是自主的，以保护属于者的个人资源的安全为目标。强制访问控制(mandatory accesscontrol，MAC)对访问主体和受控对象标识两个安全标签，一个是具有偏序关系的安全等级标签，另一个是非等级分类标签，他们是实施强制访问控制的依据，通过比较主体和客体的访问标签来决定一个主体是否能够访问某个个体。基于角色的访问控制(role-basedaccess control，RBAC)在主体和客体之间引入了角色的概念。所谓角色，就是一个或一群用户在组织内可执行的操作的集合，系统管理员根据需要定义各种角色，并分配合适的访问权限，而用户根据职责和任务的不同对应于不同的角色，实现了用户与访问边界的逻辑分离。

在上述访问控制方法中，DAC难以适用于高安全等级的信息系统；MAC能够应用于高安全等级的信息系统，但无法做到细粒度的访问控制；RBAC满足了设计复杂信息系统的访问控制策略，但是在RBAC引入细粒度访问控制将会极大的降低资源访问的实时性，而且三种访问控制方法的安全性缺乏加密的保障。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于加密技术的HBase细粒度访问控制方法，实现了在新型非关系型数据HBase中，对细粒度访问、数据的安全性、数据主权明确等多方面要求的个人数据的存储和访问控制。

为解决上述问题，本发明提供的技术方案为：一种基于加密技术的HBase细粒度访问控制方法，其特征在于，包括以下步骤：