前言:中文期刊网精心挑选了成人谜语范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
成人谜语范文1
浑浑噩噩
成语解释
浑浑:深厚的样子;噩噩:严肃的样子。原意是浑厚而严正。现形容糊里糊涂,愚昧无知。
出 处
汉·扬雄《法言·问神》:“虞夏之书;浑浑尔;商书灏灏(hào;广大。)尔;周书噩噩尔。”
例 句
1. 青年人不该~地生活,而应该为祖国的腾飞去努力拼搏。
浑浑噩噩造句
1、即使遇到挫折,也要振奋精神,不能浑浑噩噩地活着。
2、一切有志者都不应该醉生梦死,浑浑噩噩地虚度年华。
3、许多人浑浑噩噩地在大学混了四年,什么也没学到。
4、相反,你将会随意的浑浑噩噩的苟活着。
5、自母亲去世后,他一直浑浑噩噩的,打不起精神来。
6、他一天到晚无所事事,浑浑噩噩地过日子。
7、有志之人不应该醉生梦死,浑浑噩噩地虚度年华。
8、人生苦短,不能就如此浑浑噩噩地过一辈子。
9、“识”,需要有进取的心态,浑浑噩噩、懒懒散散。
10、他自从得这种病后,一天到晚浑浑噩噩的,你说怎么办呀?
11、他整天浑浑噩噩,怎能委以重任呢?
12、青年人不该浑浑噩噩地生活,而应该为祖国的腾飞去努力拼搏。
13、这一失利使肯尼迪从浑浑噩噩中醒悟过来。
14、自从公司倒闭后,他每天就过着浑浑噩噩的生活。
15、我们不能再浑浑噩噩的过下去了,要打起精神,重整旗鼓.
成人谜语范文2
也许你是一位非常优秀的领导,能管理好上百万人的城市;也许你是一位非常成功的商人,能每年创造成百万上千万;也许你是一位非常杰出的教师,你已桃李满天下;但是,如果你的孩子教育不成功,就不算真正的成功。
孩子是你的,更是国家的!孩子的好坏决定了我们的民族和国家的未来!一个孩子,输不起!教育好一个,造福三代!
任何成功都不能弥补教育孩子的失败!没有教不好的孩子,只有不会教的父母,好农民不让最矮的庄稼枯萎,好父母不让最“差”的孩子自卑!
农民对待庄稼的态度,决定了庄稼的命运,父母对待孩子的态度,往往决定了孩子的命运。
农民希望庄稼快快成长的心情和父母希望孩子早日成才的心情是完全一样的,可做法却往往不同。
农民日思夜想的是庄稼需要什么?怎样满足庄稼的需要?
父母为教育孩子彻夜难眠,有没有想到孩子心灵深处需求是什么?怎样满足孩子的精神需求呢?庄稼长势不好时,农民从不埋怨庄稼,相反,总是从自己身上找原因。
孩子学习不行时,许多父母却一味指责,很少想过自己的责任,很在自己身上找原因。外界环境变化时,农民都知道要改变种植方法;社会环境变革时,父母是否想到要更新教育观念呢?
成人谜语范文3
关键词:文秘英语 任务教学法 教学实践
一、任务教学法简介
任务型教学(Task-based Language Teaching)兴起于20世纪80年代,指教师在课堂上给学生设置相关的学习任务来完成学习,教师只是起到引导的作用。这种教学方法强调“在做中学(learning by doing)”,而不是靠教师灌输知识,是交际教学法的发展。教师根据特定的交际和语言项目,设计出具体、可操作的多个任务,让学生通过小组讨论、角色扮演、自学、寻求帮助等各种语言活动形式来完成任务,以达学生在实践中掌握和运用语言的目的。
“任务教学法”区别于传统语言教学的方面如下:一是教师可以设置多种多样的任务和活动,有助于激发学生的学习兴趣和积极性;二是人人都必须参与语言活动这一要求可以较好地杜绝学生偷懒的现象发生,保证参与率;三是学习活动的内容信息量大,涉及面广,有助于拓宽学生的知识面;四是能培养学生人际交往、团队合作、思考、决策和应变能力,有利于学生的健全人格和能力的发展;五是将文秘专业与英语语言相结合,使学生的学习导向性和市场性更明确,学生会感觉到现在的自己是在为将来的自己而学,从而有利于学生自觉性、自主性的发挥,英语学习没动力这个老大难的问题会有所改观;六是自评、互评和师评三种评价方面容易让学生实现自我价值,找到学习动力和满足感,从而保持对英语学习的兴趣,养成良好的学习习惯。
二、文秘英语课程基本任务分析
文秘英语课程是一门专业核心课程,贯穿第二学年。本课程是针对文秘岗位实际需求而开设的一门特殊用途英语(English for Specific Purpose)课程。本课程的目标是将文秘专业岗位知识与英语语言知识紧密结合,通过模拟实用工作场景而培养学生实际运用语言的能力。文秘英语是一门集听、说、读、写为一体的多项技能综合训练课程,侧重“学中用,用中学”。
文秘英语课程的基本任务包括以下内容:一是听说能力,旨在培养学生进行常见的涉外英语口语交际的能力,其教学重点是教会学生怎样将所听的内容口头表达出来;二是阅读能力,能通过英语文章了解秘书工作的相关环节和相关技巧;三是写作能力,能根据应用模板,运用基本专业词汇以及文秘专业基础知识进行简单的应用文写作,达到学以致用的目的。
三、文秘英语课程中任务设计的基本原则
1.真实教学环境模拟原则
利用文秘实训室这一教学资源为专业英语的使用创设真实的教学环境,即文秘英语的教学任务都在这个文秘实训室里完成。学生在英语课堂上完成的任务即为以后工作中要完成的任务,如电话沟通、安排预约、为上司安排商务旅行、接待访客、出席商务宴会和带访客参观工厂或公司等,从而培养学生运用英语这门工具来解决工作问题的能力。
2.学生为主体原则
任务型教学充分体现了学生的主体性和参与性,是有效改变以往以教师讲授为主的教学现状的最佳途径之一。将学生置身于真实的工作环境中,学生带着真实的任务去学习,教师把学习和解决问题的主动权交给学生,教师只是教学任务完成的引导者、协调和激励者,学生改变了以往被动接受的地位,表示出较强的学习和参与兴趣。
3.课程目标及步骤性原则
无论是综合的任务设计还是单项任务设计都应遵循专业词汇目标、听说目标、阅读目标以及写作目标进行科学合理的设计,以确保《文秘专业英语》课程的有效实施。
四、任务教学法在文秘英语课程中的设计和应用
1.教师明确课程及单元教学目标
在此基础上进行综合项目以及单项技能训练项目的任务设计,创建“真实教学环境设计”。例如,在学习Office Equipment(使用办公设备)时,教师首先设计“真实教学环境设计”以及综合目标任务:“你在外资企业工作,新来的同事Mike缺少实际经验,这不,下午一上班Mike就来询问你关于办公室里传真机的使用方法,你虽然很忙,但还是热情回应了Mike的询问,告诉他怎样使用传真机,Mike非常感激你的热情帮助”。
其次,教师以学生为主体进行单项任务目标设计。一是掌握10个左右文秘常见专业词汇(fax machine,thermal paper,slot,dial,button,face down,operate,receiving signal,press,bother)。二是掌握3个介绍办公室设备使用的基本句型。三是能运用基础语法、词汇以及专业词汇为同事或其他人提供办公设备使用方面的介绍。四是能热情为他人提供帮助,体现秘书的职业素养,给他人留下好印象,建立良好的同事关系。这样,教师和学生都围绕具体的任务进行学习,教师思路清晰,学生学习目的明确,通过环环相扣的多个小任务的解决来完成大任务。
2.教师引导学生对任务进行分析
在明确了学习任务后,学生就会去对学习任务进行分析,找出问题、分析问题,最后小组或个人单独解决问题,再进行汇报,最后由教师进行引导、总结。分两个层次进行。
比如在学习“Attending a Business Party”时,项目设定为“秘书小方将于本周五去参加商务宴会,却不知道参加商务宴会时应该怎样表现,有什么值得注意的地方,想请你帮她出出主意,以保证在商务宴会上举止得当,给人留下良好印象”。
首先,设置导入任务:秘书在商务宴会上应该怎样表现?引发学生根据常识,以小组为单位进行讨论,学生会说出“准时到达、着装得体,语言得当、察言观色”等建议,并上网或找书本内容查出这些建议的英文表达。在讨论的过程中教师扮演鼓励和引导的角色,并不急于补充内容。
随后,进入第二个环节,让学生阅读教材中的精读文章介绍。在完成这个任务前需要教师对新单词进行带读或讲解,也需要提前布置任务让学生提前把文章进行翻译,所以本文所谈论的任务教学法前后贯穿的时间会比较长,一般需要10个学时。因此,本文所谈论的任务教学法更准确地说是一种时间跨度较大的任务教学法。等学生在规定的时间内阅读并分析文字材料后,以组为单位讨论任务并把讨论结果向全班汇报,汇报的形式可以是PPT或口头讲解;教师把各组汇报结果再次写在黑板上,学生对自己组前后两次得出的结论进行比较,体会学习文章前后的差别。
学生只有通过亲自动手动脑,操作的知识才能内化为自己的知识,从而加深印象。但这并不等于每个学生都清楚并记住了秘书参加商务宴会的注意事项,可能会有不少疏漏的细节问题或有些学生根本没听进去。教师此时要因势利导,利用形象和学生乐于接受的PPT等方式把学生疏漏的地方指出来,作为新知识的补充和扩展。最后,由教师学生共同进行正确知识的归纳总结。
3.教学目标达成,完成教学任务
再以“Office Equipment”单元的学习为例,通过以上对任务的分析,学生已对怎样使用办公设备有了清楚的了解,这时教师应引导学生把目光转向本单元教学目标:能标出和掌握10个与办公设备使用相关的专业词汇;熟悉并说出3个介绍办公室设备使用的基本句型;用100个左右的单词指导同事正确使用传真机;在提供帮助时做到热情礼貌,体现秘书职业素养。
在完成任务的过程中,教师扮演的角色是引导、鼓励、讲解和提供帮助,学生完成任务的途径有很多种,如自行查阅资料、小组讨论、自由学习或向老师提出问题等等。教师对于提出来的问题,最好是让有能力的学生来解决,形成相互学习、相互鼓励、相互竞争的良好氛围;对于学生解决不了的问题,逐渐引导、指点,在互动的氛围中解决问题,共同完成任务。
4.采取学生自评、互评以及师评三种方式对任务进行评价和提升
任务的完成并不是教学的终点,还有一个环节,那就是评价,对于学习任务的评价有三种方式,即:学生自评、学生互评以及教师评价。
首先学生要对所完成任务的质量进行自我评价和相互评价。通过自评进行反思,通过互评和师评认识到自己的优点和不足,以便在以后的学习任务中发扬自己小组的优点,避免缺陷;吸取其他组的经验为己所有;听取老师的意见和建议,在语言和专业知识的运用上更上一层楼。需要注意的是,教师对学生完成任务的质量要进行全面而细致的评价,以正面引导为主,多表扬,多鼓励,哪怕是一点点亮点或闪光点都要及时指出,对存在的问题进行适当的讲解。这样能保证学习以后学习的积极性,形成良性循环。
五、小结
通过文秘英语任务教学法教学实践研究,可以看出任务教学法是顺应技工学校英语教学规律的可行之路。它充分调动了学生的学习积极性、参与性和创造性,把枯燥的语言学习融入到真实的工作岗位训练中去,让学生感觉到自己是在为以后的自己而学,而不是仅仅是为了考试合格而学。
通过三种评价方式,培养学生的反思能力、接受他人意见或建议的能力,以及吸取经验教训改善学习方法、提高学习效率的能力。教师在设计教学任务的同时也对情感目标进行挖掘,起到事半功倍的作用,共同作用于良好职业道德,帮助学生成为既有基本语言能力,又有良好工作能力和良好职业素质的人才。
成人谜语范文4
关键词:人员密集场所;隐患成因;防范措施
随着我国经济的快速发展和人民生活水平的不断提高,人们对待生活的品位也在迅速增长,对于一些人员密集场所的环境要求和空间要求也就更高,现在一些宾馆、饭店、歌厅、舞厅从以前的几十平方米到现在的上千平方米,室内装修也越来越奢侈、豪华,甚至很多都是可燃材料装修;更为严重的是有的场所缺少安全出口、堵塞安全出口,占用消防设施等严重的违规问题,这些问题极易造成群死群伤的恶性火灾事故。笔者结合工作实际,主要就人员密集场所火灾隐患的成因及预防对策问题进行探讨。
一、人员密集场所的特点
(一)场所所在建筑使用性质变更。酒吧、网吧、饭店等人员密集场所很少使用独立的建筑,经营者一般都是租用建筑物的一部份进行装修和改造,有的是在商场、办公楼的某个楼层,有的在停用的仓库或厂房内,有的在居民住宅楼首层,有的甚至在居民住宅楼内改建。这些建筑原设计不是用作人员密集场所,内部的消防设计不能满足人员密集场所的相关要求。将这些建筑随意改为人员密集场所不仅改变了建筑的使用性质,也给场所带来了“先天性的火灾隐患”。
(二)建筑面积比较小。一般为几十或几百平方米不等,通常设置在建筑底层,楼层高度4~5米。租赁户或经营户为“充分”利用空间,将楼层分隔成两层,有的甚至在中间形成一个小中庭,由于底层楼层分隔必然会引起安全出口数量不足,人员聚集的多,人员疏散困难。这是造成群死群伤事故的重要原因。
(三)人员密集场所经营项目的多样性。酒吧、网吧、卡拉OK房、美容美发店、茶艺楼等,应有尽有。
(四)装修相对高档化。由于商业需要,最大限度地吸引顾客而赢利,往往因造型和突出宣传效果而采用大量木材、塑料、纤维织品等可燃易燃材料进行装修,直接导致火灾荷载大幅度增加。
(五)安全出口、疏散通道设置不符合要求。设置的门多数是推拉门、转门等,门向内开启,而且有的还在门口1.4米范围内设置踏步;疏散通道采用木板等可燃材料搭建,宽度不够;室外疏散小巷宽度达不到3米的要求。
二、人员密集场所火灾隐患的成因
(一)违章装饰装修。《建筑内部装修设计防火规范》明确规定了建筑物顶棚、墙面等部位以及窗帘、帷幕等装饰织物必须满足的燃烧性能等级要求。然而有的装饰工程设计、施工单位任意降低防火标准,人为造成很多火灾隐患。
(二)消防安全管理制度不健全。各类人员密集场所用火用电、防火检查、控制室值班、员工培训、消防设施维修保养、火灾隐患整改、灭火和应急疏散演练以及消防安全操作规程等必须建立消防安全管理制度。有的虽然建立了一些内部管理制度,但不符合本单位或公共场所安全管理的实际,制度内容不具体、不全面,有的规定内容与现行消防法律法规规定不相一致,缺乏可操作性。
(三)某些人员密集场所未经消防审核,有的未经验收擅自投入使用,或随意改变建筑物内部结构,擅自改变场所的使用性质;有的验收不合格就投入使用,而与之相匹配的消防安全基础设施没有跟上,事后又无法弥补,有的消防水压不足、室内消火栓数量不足,致使消防设施先天不足,留下了火灾隐患,增大了发生火灾的危险性。
(四)消防器材和安全疏散设施不符合规范要求,设置位置不够合理。有的建筑内部缺少自动消防设施或建筑消防设施不能正常运行,一旦发生火灾事故,不能发挥应有的作用。
三、人员密集场所火灾隐患预防及对策
(一)进一步加强消防安全管理。主要采取以下措施:
1.从源头抓起,严把“四关”
成人谜语范文5
关键词:七氟醚;全身吸入麻醉;苏醒时间;用药安全性
目前,我国临床上采用全身吸入物一般是七氟醚和异氟醚,但由于其临床麻醉效果论述不一,使两种药物具有较大的争议[1]。现就选取2015年3月~2016年3月在我院接受治疗的80例全身吸入麻醉成人患者进行对照研究,现将研究内容汇报如下。
1资料与方法
1.1一般资料 选取2015年3月~2016年3月在我院接受治疗的80例全身吸入麻醉成人患者,按照物的不同将其分为治疗组和对照组,各40例。对照组,男25例,女15例,年龄45~83岁,平均年龄(79.8±38.3)岁;体重40~66 kg,平均体重(58.6±38.6)kg;身高155~181 cm,平均身高(178.2±149.3)cm。治疗组,男21例,女19例,年龄49~85岁,平均年龄(52.3±28.1)岁;体重43~69 kg,平均体重(65.6±41.6)kg;身高158~183 cm,平均身高(180.2±154.3)cm。经比较,两组患者在性别、年龄、体重、身高上无明显差异(P>0.05),具有可比性。
1.2麻醉方法 治疗前将所有患者静脉注射丙泊酚;对照组异氟醚吸入麻醉,首次吸入1.0MAC,采用麻醉气体检测仪检测患者呼出或者吸入的异氟醚浓度,再根据其浓度进行增减剂量,在手术期间要保证患者100%吸氧,待手术结束后,继续检测其浓度,在结合其他药物进行治疗即可。治疗组七氟醚吸入麻醉,操作步骤与对照组一致。
1.3观察指标 比较两组患者的麻醉效果、MMSE评分指标和苏醒时间 麻醉效果可通过患者的自主呼吸恢复情况,睁眼时间,拔管时间,定向例恢复情况上观察;MMSE评分指标,通过观察患者在麻醉前,术后2 h,12 h,24 h内的评分指标进行统计分析,总分为30分[2]。
1.4统计学方法 应用软件SPSS11.0对两组的数据进行分析与处理,P
2结果
2.1比较两组患者的麻醉效果 通过观察两组患者自主呼吸恢复情况,睁眼时间,拔管时间,定向例恢复情况,分析其麻醉效果,见表1。
2.2比较两组患者的MMSE评分指标 两组患者在麻醉前和24 h MMSE评分无明显差异(P>0.05),在其他阶段差异显著,见表2。
2.3比较两组患者的苏醒时间 对照组患者的苏醒时间是(18.01±9.12)min;治疗组患者的苏醒时间(12.33±5.3)min。治疗组患者的苏醒时间短于对照组,两组差异显著(P
3讨论
异氟醚是一种临床上常用的吸入物,能够快速的使血液达到平衡,具有较好的麻醉安全性,抑制中枢神经系统,减少患者的脑耗氧量,增多脑血流量,使其颅内压升高,纠正通气,抑制神经肌肉和循环系统;但是,其镇痛效果较差,麻醉恢复慢,术后苏醒期躁动发生率高[3]。
七氟醚是一种新型吸入物,是近几年来引入临床的物,其本身具有异氟醚的功效外,对心血管系统、脑血流量、颅内压的影响较其物小,还弥补了异氟醚的缺点,其麻醉效果好,镇痛效果较好,术后麻醉恢复较快,术后苏醒期躁动发生率低等[4]。
这次研究中,治疗组患者的麻醉效果突出,与对照组相比有统计学意义(P
综上所述,对于全身吸入麻醉患者使用七氟醚进行吸入麻醉,可缩短苏醒时间,提高麻醉效果,且安全性较好,对全身吸入麻醉患者具有较大的意义。为临床麻醉工作提供较为安全的依据。临床上应广泛采用。
参考文献:
[1]罗艳,姚尚龙,杨拔贤,等.中国麻醉医师在全身麻醉中七氟醚使用习惯的多中心研究[J].临床麻醉学杂志,2016,1(12):6-9.
[2]吴新民,邓小明,黄文起,等.七氟醚用于成人全身吸入麻醉的随机、开放、多中心、阳性对照临床研究[J].临床麻醉学杂志,2007,9(13):709-711.
[3]H Chen,B Zheng.Characterizing natural dissolved organic matter in a freshly submerged catchment(Three Gorges Dam,China) using UV absorption, fluorescence spectroscopy and PARAFAC[J]. Water science and technology:a journal of the International Association on Water Pollution Research, 2012,65(5):962-969.
成人谜语范文6
关键词:云计算;Had00p Distributed File system;身份认证;Kerberos;公钥加密
DoI:10.15938/j.jhust.2016.04.003
中图分类号:TP99
文献标志码:A
文章编号:1007-2683(2016)04-0013-06
0引言
Hadoop是Apache基金会旗下一款具备PT级数据存储与分析能力的分布式系统基础架构,作为云计算领域内海量数据的存储与计算的核心技术取得了广泛的应用,该架构主要由分布式文件系统HDFS(Hadoop Distributed File System)与分布式编程模型Mapreduce两个核心组件组成.HDFS是Google的分布式文件系统GFS(Goode File Sys-tern)的开源实现,为Hadoop平台提供基础的分布式文件存储服务,是整个Hadoop得以运行的基础。在身份认证安全方面,HDFS是基于Kerberos协议实现的.但鉴于对称密钥机制下的Kerberos其安全性面临着很大的不足,很多学者也做了相关的研究.张晓提出了一种基于PKI改进的Kerberos协议,该方案通过使用公钥加密机制代替对称密钥机制使得认证协议安全性达到了公钥级别,但在时间效率上却有着不足,邵叶秦等提出了一种公钥加密机制与私钥加密机制相结合的Kerberos协议,在安全性和时间上均有所提高,但由于对称密钥是由密钥分发中心KDC生成,在对称密钥交换上存在安全漏洞.李延改等提出了一种基于数字证书CA的HDFS环境下的认证及安全传输机制,该改进为通信双方提供证明自身身份的数字证书,实现了通信双方的身份认证,但管理过于繁多的数字证书增加了使用者的开销。
本文将在综合分析HDFS现存Kerberos认证机制的基础上,充分利用公钥加密机制与对称密钥加密机制各自特点,将对称密钥的生成管理方由集中式的KDC改变为分布式的集群服务申请者,以期最终给出一套完善的HDFS环境下的Kerberos协议身份认证机制。
1.Kerberos应用分析
Hadoop在设计之初,默认整个集群是在一个可信任的域中,并没有为集群引入各实体间的认证机制,随着Hadoop应用的不断普及Hadoop设计者也逐渐意识到集群存在的安全性问题,针对Hadoop的安全缺陷,自Hadoopl.0.0版本后,为其引入了基于Kerberos协议的第三方安全身份认证机制,用于保障各通信节点间的可信性。
1.1基于Kerberos协议下的HDFS认证机制
Kerberos最初是由MIT研发的,当前最新的协议版本为Kerberos V5,该协议可为处于不安全的网络环境下通信的双方提供可信认的身份认证机制,该协议在网络安全与身份认证领域有着广泛的应用,HDFS下Kerberos的基本原理:在Hadoop集群中建立一个集中保存客户端、DataNode以及NameNode的用户名和密码的认证中心KDC,进行用户的身份认证和授权工作,KDC在是由两个逻辑上相互独立的认证服务器AS和票据发放服务器TGS组成的,Hadoop集群下的任何需要申请服务的用户在申请服务时,首先通过与AS服务器通信获得票据授权票据TGT,然后利用TGT与TGS服务器通信获取用于服务的票据Ticket,最后用户利用票据Ticket与所需服务提供节点通信取得服务。
HDFS下Kerberos协议具体实现过程如图4所示
1.2 HDFS下Kerberos协议安全性分析
通过为HDFS引入Kerberos协议,解决了原有HDFS集群所遇到的如下安全问题
1)非法用户利用Hadoop集群的动态扩展特性,伪装成DataNode节点服务器加入到HDFS集群内,接收NameNode分派的文件数据信息;
2)非法用户通过更改网络发送数据包伪装成授权用户的身份,向NameNode与DataNode请求服务资源;
3)在非安全的网络环境中,非法用户可以窃听数据报文的交换过程,并可使用重放攻击干扰Nam―eNode、DataNode服务器的正常运行.
虽然Kerberos协议可以为HDFS提供身份认证机制,但是HDFS下的Kerberos身份认证机制还存在局限性,面临着如下安全问题:
1)HDFS集群时间同步性问题.由于在整个Kerberos协议身份认证过程中会通过借助对比时间戳来判断用户身份真实性,这就要求整个HDFS集群内部网络具备很高的时钟同步能力,而这对于构建于廉价商用机群之上的HDFS集群来说难于实现的.即使HDFS集群所处的Kerberos服务域内可做到高度的时钟同步,使得接收方可以在规定的可信时间内(通常设置t=5min)得到新消息,但只要恶意用户事先准备好伪造的消息,一旦截获服务票据并马上发出,Kerberos机制是难以在这5分钟内检测出恶意用户发起的攻击。
2)KDC的安全性及“瓶颈”问题.KDC作为Kerberos认证协议中的一个重要组成部分,用于存储和分发HDFS集群客户端、NameNode和DataNode的密钥等相关信息.一方面,集中式的密钥存储简化了整个系统的管理复杂难度,然而一旦KDC被恶意用户攻破,则将会对整个HDFS集群安全造成灾难性的打击;另一方面为应对非法用户恶意收集票据用于重放攻击,KDC需要为密钥设定一个安全的有效期时限,这样的设计使得HDFS集群认证申请方为保证自身持有密钥的有效性需要周期性的向KDC申请票据.鉴于HDFS自身集群规模庞大性以及申请方需要周期性的向中心服务器KDC提出申请,这将导致服务器服务能力下降和处理能力减弱,产生性能瓶颈。
3)字典攻击问题.在Kerberos认证过程中,AS服务器并不是直接验证用户身份,而是通过返回用客户端密钥Kc加密的TGT信息,只有知道Kc的用户才可解密得到TGT,进而进行后续的认证步骤.然而目前即使引入了认证技术及数据加密技术的强健安全网络(RSN)在通信安全方面依然存在相关的安全隐患,汪定。等指出即使在强健安全网络(RSN)环境下,基于中间人MitM的信息篡改、信息窃取等攻击方式依然具有严重威胁性,并提出中一个关于MitM攻击的框架和有效攻击条件,给出该框架下一个有效攻击实例,因此若恶意用户可在HDFS集群通信线路上收集足够数量的TGT信息,从而可以通过离线的口令分析技术,进行针对性的密钥破解.针对恶意用户的离线分析状况,基于对称加密体制目前还无法给出有效性防止方案.
4)抵赖机制问题.有效的不可抵赖机制是现如今通信网络双方所极为推崇的重要安全技术.当前的不可抵赖机制实现是基于数字签名技术,而数字签名的实现则依赖于散列函数与公钥加密算法.由于Kerberos协议采用的是对称加密机制而非公私钥机制,所以也就不能为信息的发送方提供数字签名技术,不能实现HDFS集群认证过程中发送信息不可抵赖机制。
为消除HDFS下Kerberos身份认证机制的这些局限性问题,本文将会在Hadoop集群现有的认证机制的的框架内就Kerberos协议做出适当的修改,通过为Kerberos协议引入非对称加密体质,充分利用现有非对称密钥机制的特点解决上述Hadoop集群身份认证问题。
2.Kerberos改进及实现
在保证现有Kerberos认证框架前提下,本方案对Kerberos协议认证内容做了改进性修正(具体流程参见图5).首先,服务申请方在生成请求信息时摒弃了原有协议中采取的对称加密方式,而是采用公钥加密技术对传输信息进行安全级别更高的公钥加密,并且加密信息中包含本次连接所使用的对称加密密钥;其次,在HDFS集群用户认证信息发送的端与端之间引入数字签名技术,对所需传输内容采取先签名后传输策略;最后,鉴于公钥加密技术的引进,修改后协议在认证信息方面只保留了基本的信息字段,舍弃了不再需要的IP地址等信息,做到了HDFS集群内端与端之间传递认证信息精简化。
改进后协议认证流程如下:
2.1 Client请求NameNode
认证过程中用到符号说明如下:
Client:服务的请求方
KDC:Key Distribute Center密钥分发中心
2.2 Client请求DataNode服务过程
该部分认证同Client请求NameNode服务过程类似,限于篇幅不再累述.
3.结果分析
下面将分别从安全性与时间效率两个方面对改进后的Kerberos协议在HDFS下身份认证过程进行分析.
3.1安全性分析
通过对传输信息的数据签名确保了发送者的身份的可识别,通过对传输数据的公钥加密确保了只有私钥持有者可以解密得到正确的数据,这一改进解决了原有认证机制的安全隐患,具体安全性分析如下:
1)相比较于改进前,改进后的认证协议对集群内时间同步性要求降低.由于只有拥有私钥的一方才可以解密使用公钥加密的数据并且公钥加密体制破解难度大,使得时间戳在认证协议中变为辅助判断票据有效性和防止重放攻击的手段.
2)改进后的Kerberos协议引入公钥加密体制,用户各自本地化存储私钥,公钥信息在集群内获得,使得KDC服务器无需实现集中存储包含所有用户密码机密敏感信息.通过此改进将极大降低了KDC服务可能面临的安全隐患,即使KDC服务器被攻破,攻击者也无法获取用户的私钥信息,无法冒充用户身份取得服务。
3)通过引入公钥加密,使得改进后认证过程杜绝了字典攻击的发生。
4)在用户、KDC服务器、NameNode和DataNode的认证信息发送、接收过程中都使用了公私钥加密及私钥签名,基于私钥的私有性,使得信息发送方的身份真实性得到了有效的证明,防止了抵赖.
3.2效率分析
实验仿真
测试系统中使用一台服务器作为独立密钥分发中心KDC,一台服务器作为NameNode节点,三台服务器为DataNode节点,三台服务器作为Client节点.测试系统使用Hadoop-1.0.O版本搭建,各个组成部分所使用的软硬件配置如表1:
为最大限度的减少机器本身性能对实验数据的影响,现将改进前后的两套系统分别部署到相应的机器上,依次验证两套系统在不同请求规模级别下用户认证过程所需的平均时间值.现在分别对以下几种规模性请求情况进行测试:3个认证请求、15个认证请求、30个认证请求、45个认证请求、60个认证请求、90个认证请求、105个认证请求、120个认证请求、135个认证请求。
注:为使实验接近真实规模,在有限的三台Cli.ent上采用了改变请求信息中IDc字段值的办法模拟不同的申请者,已达到规模性认证请求情况.
下图是认证协议改进前后两种情况所对应的平均时间测试的对比结果:
通过图6关于认证协议改进前与改进后的对比实验结果可以得出:在该实验环境下,随着请求次数增加二者均呈近似线性增长趋势,但改进后增长幅度要小于改进前.在请求低于120以下时改进后时间需求要大于改进前,但随着请求高于120次改进后时间效率更占优势.总之,改进后更适用于大规模请求,更适合Hadoop集群环境下的身份认证请求过程。
