大數據系統安全技術實踐

本書結合健康醫療大數據的具體套用環境，分析其特定的安全需求，系統介紹認證、授權與訪問控制、數據隱藏與加密、網路安全、集群監控與日誌審計等多方面技術，設計符合安全需求的健康醫療大數據安全體系。結合*的屬性基加密和隱私保護等關鍵技術介紹相關方法，並且引入*的滲透測試技術進行測試。

尚濤，2006年博士畢業於日本高知工科大學系統工程專業，現為北京航空航天大學網路空間安全副教授，中國電子學會資訊理論分會 委員，中國人工智慧學會 智慧型機器人專業委員會 委員；主持國家重點研發計畫項目子課題、國家自然科學基金面上項目、國際合作、教育部留學回國人員科研啟動基金項目、中國博士後科學基金項目、國防863計畫項目、中央高校基本科研業務費專項資金項目等多項。

第1章　緒論 1

1.1　大數據的特點 1

1.2　大數據平台 2

1.3　醫療健康大數據的套用需求 3

1.4　國外研究現狀及趨勢 5

1.5　國內研究現狀及趨勢 6

第2章　大數據平台Hadoop的系統構成 9

2.1　Hadoop組件 9

2.1.1　HDFS 9

2.1.2　MapReduce 10

2.1.3　HBase 11

2.2　偽分散式Hadoop環境部署 12

2.3　分散式Hadoop環境部署 16

2.4　分散式MongoDB環境部署 18

2.4.1　MongoDB 18

2.4.2　環境設定 20

2.4.3　集群搭建 20

2.4.4　掛載磁碟 26

第3章　大數據平台Hadoop的安全機制 28

3.1　概述 28

3.2　Hadoop安全機制 29

3.2.1　基本的安全機制 29

3.2.2　總體的安全機制 30

3.3　Hadoop組件的安全機制 31

3.3.1　RPC安全機制 31

3.3.2　HDFS安全機制 31

3.3.3　MapReduce安全機制 34

3.4　Hadoop的安全性分析 36

3.4.1　Kerberos認證體系的安全問題 36

3.4.2　系統平台的安全問題 36

3.5　Hadoop安全技術架構 37

3.6　安全技術工具 39

3.6.1　系統安全 39

3.6.2　認證授權 40

3.6.3　數據安全 42

3.6.4　網路安全 44

3.6.5　其他集成工具 45

第4章　大數據系統安全體系 47

4.1　概述 47

4.2　相關研究 47

4.3　大數據面臨的安全挑戰 50

4.4　大數據安全需求 51

4.5　大數據安全關鍵技術 53

4.6　大數據系統安全體系框架 56

第5章　大數據系統身份認證技術 59

5.1　概述 59

5.2　Kerberos認證體系結構 59

5.3　身份認證方案 61

5.4　身份認證方案實現 63

5.5　Kerberos常用操作 68

5.5.1　基本操作 68

5.5.2　操作流程 69

第6章 大數據系統訪問控制技術 71

6.1 概述 71

6.2 基於角色的訪問控制方案 72

6.3 XACML語言框架 73

6.3.1 訪問控制框架 73

6.3.2 策略語言模型 74

6.4 基於XACML的角色訪問控制方案實現 75

6.4.1 角色訪問控制策略描述 75

6.4.2 角色訪問控制策略實現 76

6.4.3 角色訪問控制策略測試 77

6.5 Sentry開源組件 79

6.6 基於Sentry的細粒度訪問控制方案 80

6.6.1 加入環境屬性約束的訪問控制模型 80

6.6.2 MySQL安裝配置 81

6.6.3 Hive安裝配置 83

6.6.4 Sentry安裝配置 85

6.6.5 細粒度訪問控制模組實現 88

第7章 大數據系統數據加密技術 93

7.1 概述 93

7.2 透明加密 93

7.3 存儲數據加密方案實現 95

7.3.1 實現步驟 95

7.3.2 參數說明 97

7.3.3 功能測試 97

7.4 SSL協定 98

7.4.1 SSL協定體系結構 98

7.4.2 SSL協定工作流程 99

7.4.3 Hadoop平台上SSL協定配置 99

7.5 傳輸數據加密方案實現 100

7.5.1 傳輸數據加密需求 100

7.5.2 Hadoop集群內部節點之間數據傳輸加密配置 101

7.5.3 Hadoop總體加密配置 102

第8章 大數據系統監控技術 103

8.1 概述 103

8.2 Ganglia開源工具 103

8.3 Ganglia環境部署 104

8.3.1 Ganglia測試集群rpm包安裝方式 104

8.3.2 Ganglia測試集群編譯安裝方式 109

8.4 Ganglia配置檔案 112

8.4.1 gmond配置檔案 112

8.4.2 gmetad配置檔案 121

8.4.3 gweb配置檔案 122

8.5 基於Ganglia的狀態監控方案實現 122

8.5.1 實現步驟 122

8.5.2 功能測試 123

8.6 基於Zabbix的監控報警方案實現 124

8.6.1 Zabbix簡介 124

8.6.2 Zabbix安裝配置 124

8.6.3 Web界面操作 127

第9章 大數據系統審計技術 136

9.1 概述 136

9.2 審計方案 137

9.3 開源軟體ELK 138

9.4 ELK安裝配置 139

9.4.1 Elasticsearch安裝 139

9.4.2 Logstash安裝 141

9.4.3 Kibana安裝 142

9.5 基於ELK的審計方案實現 143

9.5.1 實現步驟 143

9.5.2 功能測試 143

第10章 大數據系統一體化安全管理技術 146

10.1 概述 146

10.2 網路結構設計 146

10.3 安全模組設計 148

10.4 軟體開發架構 151

10.5 軟體運行流程 152

10.6 軟體界面 153

10.7 軟體測試 159

第11章 大數據系統屬性基加密關鍵技術 163

11.1 概述 163

11.2 預備知識 164

11.2.1 群知識 164

11.2.2 雙線性配對 165

11.2.3 拉格朗日插值定理 165

11.2.4 訪問結構 165

11.3 屬性基加密方案 167

11.3.1 傳統的屬性基加密方案 167

11.3.2 改進的屬性基加密方案 168

11.4 屬性基加密方案的實現 169

11.4.1 屬性基加密算法 169

11.4.2 屬性基加密模組 170

11.5 基於屬性的大數據認證加密一體化方案 172

11.5.1 方案整體架構 172

11.5.2 方案運行流程 173

11.5.3 安全性分析 175

11.5.4 功能測試 175

11.5.5 性能測試 176

11.5.6 方案總結 177

第12章 大數據系統遠程數據審計關鍵技術 178

12.1 概述 178

12.2 遠程數據審計方案 179

12.2.1 基於兩方模型的遠程數據審計方案 179

12.2.2 基於三方模型的遠程數據審計方案 180

12.2.3 遠程數據審計方案需求 181

12.3 預備知識 181

12.3.1 密碼學基礎 182

12.3.2 數據結構 182

12.3.3 分散式計算框架 184

12.3.4 系統審計模型 185

12.4 單用戶遠程動態數據審計方案 186

12.4.1 方案描述 186

12.4.2 方案分析 189

12.4.3 方案總結 192

12.5 支持並行計算的單用戶遠程動態數據審計方案 192

12.5.1 方案描述 192

12.5.2 更新算法描述 193

12.5.3 並行計算算法設計 196

12.5.4 方案分析 199

12.5.5 方案總結 201

12.6 多用戶遠程動態數據審計方案 201

12.6.1 方案描述 202

12.6.2 動態更新 204

12.6.3 方案分析 206

12.6.4 方案總結 209

第13章 大數據系統隱私保護關鍵技術 210

13.1 概述 210

13.2 隱私保護方案 211

13.2.1 隱私保護研究現狀 211

13.2.2 隱私保護聚類技術研究現狀 212

13.2.3 隱私保護分類技術研究現狀 213

13.3 預備知識 214

13.3.1 k-means算法 214

13.3.2 決策樹C4.5算法 215

13.3.3 差分隱私 216

13.4 面向聚類的隱私保護方案 216

13.4.1 基於MapReduce框架的最佳化Canopy算法 217

13.4.2 基於MapReduce框架的DP k-means算法 218

13.4.3 實驗結果 218

13.5 面向分類的隱私保護方案 219

13.5.1 等差隱私預算分配 220

13.5.2 基於MapReduce的差分隱私決策樹C4.5算法 220

13.5.3 實驗結果 221

13.6 方案總結 223

參考文獻 224