前言:中文期刊網精心挑選了成人謎語范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
成人謎語范文1
渾渾噩噩
成語解釋
渾渾:深厚的樣子;噩噩:嚴肅的樣子。原意是渾厚而嚴正。現形容糊里糊涂,愚昧無知。
出 處
漢·揚雄《法言·問神》:“虞夏之書;渾渾爾;商書灝灝(hào;廣大。)爾;周書噩噩爾。”
例 句
1. 青年人不該~地生活,而應該為祖國的騰飛去努力拼搏。
渾渾噩噩造句
1、即使遇到挫折,也要振奮精神,不能渾渾噩噩地活著。
2、一切有志者都不應該醉生夢死,渾渾噩噩地虛度年華。
3、許多人渾渾噩噩地在大學混了四年,什么也沒學到。
4、相反,你將會隨意的渾渾噩噩的茍活著。
5、自母親去世后,他一直渾渾噩噩的,打不起精神來。
6、他一天到晚無所事事,渾渾噩噩地過日子。
7、有志之人不應該醉生夢死,渾渾噩噩地虛度年華。
8、人生苦短,不能就如此渾渾噩噩地過一輩子。
9、“識”,需要有進取的心態,渾渾噩噩、懶懶散散。
10、他自從得這種病后,一天到晚渾渾噩噩的,你說怎么辦呀?
11、他整天渾渾噩噩,怎能委以重任呢?
12、青年人不該渾渾噩噩地生活,而應該為祖國的騰飛去努力拼搏。
13、這一失利使肯尼迪從渾渾噩噩中醒悟過來。
14、自從公司倒閉后,他每天就過著渾渾噩噩的生活。
15、我們不能再渾渾噩噩的過下去了,要打起精神,重整旗鼓.
成人謎語范文2
也許你是一位非常優秀的領導,能管理好上百萬人的城市;也許你是一位非常成功的商人,能每年創造成百萬上千萬;也許你是一位非常杰出的教師,你已桃李滿天下;但是,如果你的孩子教育不成功,就不算真正的成功。
孩子是你的,更是國家的!孩子的好壞決定了我們的民族和國家的未來!一個孩子,輸不起!教育好一個,造福三代!
任何成功都不能彌補教育孩子的失敗!沒有教不好的孩子,只有不會教的父母,好農民不讓最矮的莊稼枯萎,好父母不讓最“差”的孩子自卑!
農民對待莊稼的態度,決定了莊稼的命運,父母對待孩子的態度,往往決定了孩子的命運。
農民希望莊稼快快成長的心情和父母希望孩子早日成才的心情是完全一樣的,可做法卻往往不同。
農民日思夜想的是莊稼需要什么?怎樣滿足莊稼的需要?
父母為教育孩子徹夜難眠,有沒有想到孩子心靈深處需求是什么?怎樣滿足孩子的精神需求呢?莊稼長勢不好時,農民從不埋怨莊稼,相反,總是從自己身上找原因。
孩子學習不行時,許多父母卻一味指責,很少想過自己的責任,很在自己身上找原因。外界環境變化時,農民都知道要改變種植方法;社會環境變革時,父母是否想到要更新教育觀念呢?
成人謎語范文3
關鍵詞:文秘英語 任務教學法 教學實踐
一、任務教學法簡介
任務型教學(Task-based Language Teaching)興起于20世紀80年代,指教師在課堂上給學生設置相關的學習任務來完成學習,教師只是起到引導的作用。這種教學方法強調“在做中學(learning by doing)”,而不是靠教師灌輸知識,是交際教學法的發展。教師根據特定的交際和語言項目,設計出具體、可操作的多個任務,讓學生通過小組討論、角色扮演、自學、尋求幫助等各種語言活動形式來完成任務,以達學生在實踐中掌握和運用語言的目的。
“任務教學法”區別于傳統語言教學的方面如下:一是教師可以設置多種多樣的任務和活動,有助于激發學生的學習興趣和積極性;二是人人都必須參與語言活動這一要求可以較好地杜絕學生偷懶的現象發生,保證參與率;三是學習活動的內容信息量大,涉及面廣,有助于拓寬學生的知識面;四是能培養學生人際交往、團隊合作、思考、決策和應變能力,有利于學生的健全人格和能力的發展;五是將文秘專業與英語語言相結合,使學生的學習導向性和市場性更明確,學生會感覺到現在的自己是在為將來的自己而學,從而有利于學生自覺性、自主性的發揮,英語學習沒動力這個老大難的問題會有所改觀;六是自評、互評和師評三種評價方面容易讓學生實現自我價值,找到學習動力和滿足感,從而保持對英語學習的興趣,養成良好的學習習慣。
二、文秘英語課程基本任務分析
文秘英語課程是一門專業核心課程,貫穿第二學年。本課程是針對文秘崗位實際需求而開設的一門特殊用途英語(English for Specific Purpose)課程。本課程的目標是將文秘專業崗位知識與英語語言知識緊密結合,通過模擬實用工作場景而培養學生實際運用語言的能力。文秘英語是一門集聽、說、讀、寫為一體的多項技能綜合訓練課程,側重“學中用,用中學”。
文秘英語課程的基本任務包括以下內容:一是聽說能力,旨在培養學生進行常見的涉外英語口語交際的能力,其教學重點是教會學生怎樣將所聽的內容口頭表達出來;二是閱讀能力,能通過英語文章了解秘書工作的相關環節和相關技巧;三是寫作能力,能根據應用模板,運用基本專業詞匯以及文秘專業基礎知識進行簡單的應用文寫作,達到學以致用的目的。
三、文秘英語課程中任務設計的基本原則
1.真實教學環境模擬原則
利用文秘實訓室這一教學資源為專業英語的使用創設真實的教學環境,即文秘英語的教學任務都在這個文秘實訓室里完成。學生在英語課堂上完成的任務即為以后工作中要完成的任務,如電話溝通、安排預約、為上司安排商務旅行、接待訪客、出席商務宴會和帶訪客參觀工廠或公司等,從而培養學生運用英語這門工具來解決工作問題的能力。
2.學生為主體原則
任務型教學充分體現了學生的主體性和參與性,是有效改變以往以教師講授為主的教學現狀的最佳途徑之一。將學生置身于真實的工作環境中,學生帶著真實的任務去學習,教師把學習和解決問題的主動權交給學生,教師只是教學任務完成的引導者、協調和激勵者,學生改變了以往被動接受的地位,表示出較強的學習和參與興趣。
3.課程目標及步驟性原則
無論是綜合的任務設計還是單項任務設計都應遵循專業詞匯目標、聽說目標、閱讀目標以及寫作目標進行科學合理的設計,以確保《文秘專業英語》課程的有效實施。
四、任務教學法在文秘英語課程中的設計和應用
1.教師明確課程及單元教學目標
在此基礎上進行綜合項目以及單項技能訓練項目的任務設計,創建“真實教學環境設計”。例如,在學習Office Equipment(使用辦公設備)時,教師首先設計“真實教學環境設計”以及綜合目標任務:“你在外資企業工作,新來的同事Mike缺少實際經驗,這不,下午一上班Mike就來詢問你關于辦公室里傳真機的使用方法,你雖然很忙,但還是熱情回應了Mike的詢問,告訴他怎樣使用傳真機,Mike非常感激你的熱情幫助”。
其次,教師以學生為主體進行單項任務目標設計。一是掌握10個左右文秘常見專業詞匯(fax machine,thermal paper,slot,dial,button,face down,operate,receiving signal,press,bother)。二是掌握3個介紹辦公室設備使用的基本句型。三是能運用基礎語法、詞匯以及專業詞匯為同事或其他人提供辦公設備使用方面的介紹。四是能熱情為他人提供幫助,體現秘書的職業素養,給他人留下好印象,建立良好的同事關系。這樣,教師和學生都圍繞具體的任務進行學習,教師思路清晰,學生學習目的明確,通過環環相扣的多個小任務的解決來完成大任務。
2.教師引導學生對任務進行分析
在明確了學習任務后,學生就會去對學習任務進行分析,找出問題、分析問題,最后小組或個人單獨解決問題,再進行匯報,最后由教師進行引導、總結。分兩個層次進行。
比如在學習“Attending a Business Party”時,項目設定為“秘書小方將于本周五去參加商務宴會,卻不知道參加商務宴會時應該怎樣表現,有什么值得注意的地方,想請你幫她出出主意,以保證在商務宴會上舉止得當,給人留下良好印象”。
首先,設置導入任務:秘書在商務宴會上應該怎樣表現?引發學生根據常識,以小組為單位進行討論,學生會說出“準時到達、著裝得體,語言得當、察言觀色”等建議,并上網或找書本內容查出這些建議的英文表達。在討論的過程中教師扮演鼓勵和引導的角色,并不急于補充內容。
隨后,進入第二個環節,讓學生閱讀教材中的精讀文章介紹。在完成這個任務前需要教師對新單詞進行帶讀或講解,也需要提前布置任務讓學生提前把文章進行翻譯,所以本文所談論的任務教學法前后貫穿的時間會比較長,一般需要10個學時。因此,本文所談論的任務教學法更準確地說是一種時間跨度較大的任務教學法。等學生在規定的時間內閱讀并分析文字材料后,以組為單位討論任務并把討論結果向全班匯報,匯報的形式可以是PPT或口頭講解;教師把各組匯報結果再次寫在黑板上,學生對自己組前后兩次得出的結論進行比較,體會學習文章前后的差別。
學生只有通過親自動手動腦,操作的知識才能內化為自己的知識,從而加深印象。但這并不等于每個學生都清楚并記住了秘書參加商務宴會的注意事項,可能會有不少疏漏的細節問題或有些學生根本沒聽進去。教師此時要因勢利導,利用形象和學生樂于接受的PPT等方式把學生疏漏的地方指出來,作為新知識的補充和擴展。最后,由教師學生共同進行正確知識的歸納總結。
3.教學目標達成,完成教學任務
再以“Office Equipment”單元的學習為例,通過以上對任務的分析,學生已對怎樣使用辦公設備有了清楚的了解,這時教師應引導學生把目光轉向本單元教學目標:能標出和掌握10個與辦公設備使用相關的專業詞匯;熟悉并說出3個介紹辦公室設備使用的基本句型;用100個左右的單詞指導同事正確使用傳真機;在提供幫助時做到熱情禮貌,體現秘書職業素養。
在完成任務的過程中,教師扮演的角色是引導、鼓勵、講解和提供幫助,學生完成任務的途徑有很多種,如自行查閱資料、小組討論、自由學習或向老師提出問題等等。教師對于提出來的問題,最好是讓有能力的學生來解決,形成相互學習、相互鼓勵、相互競爭的良好氛圍;對于學生解決不了的問題,逐漸引導、指點,在互動的氛圍中解決問題,共同完成任務。
4.采取學生自評、互評以及師評三種方式對任務進行評價和提升
任務的完成并不是教學的終點,還有一個環節,那就是評價,對于學習任務的評價有三種方式,即:學生自評、學生互評以及教師評價。
首先學生要對所完成任務的質量進行自我評價和相互評價。通過自評進行反思,通過互評和師評認識到自己的優點和不足,以便在以后的學習任務中發揚自己小組的優點,避免缺陷;吸取其他組的經驗為己所有;聽取老師的意見和建議,在語言和專業知識的運用上更上一層樓。需要注意的是,教師對學生完成任務的質量要進行全面而細致的評價,以正面引導為主,多表揚,多鼓勵,哪怕是一點點亮點或閃光點都要及時指出,對存在的問題進行適當的講解。這樣能保證學習以后學習的積極性,形成良性循環。
五、小結
通過文秘英語任務教學法教學實踐研究,可以看出任務教學法是順應技工學校英語教學規律的可行之路。它充分調動了學生的學習積極性、參與性和創造性,把枯燥的語言學習融入到真實的工作崗位訓練中去,讓學生感覺到自己是在為以后的自己而學,而不是僅僅是為了考試合格而學。
通過三種評價方式,培養學生的反思能力、接受他人意見或建議的能力,以及吸取經驗教訓改善學習方法、提高學習效率的能力。教師在設計教學任務的同時也對情感目標進行挖掘,起到事半功倍的作用,共同作用于良好職業道德,幫助學生成為既有基本語言能力,又有良好工作能力和良好職業素質的人才。
成人謎語范文4
關鍵詞:人員密集場所;隱患成因;防范措施
隨著我國經濟的快速發展和人民生活水平的不斷提高,人們對待生活的品位也在迅速增長,對于一些人員密集場所的環境要求和空間要求也就更高,現在一些賓館、飯店、歌廳、舞廳從以前的幾十平方米到現在的上千平方米,室內裝修也越來越奢侈、豪華,甚至很多都是可燃材料裝修;更為嚴重的是有的場所缺少安全出口、堵塞安全出口,占用消防設施等嚴重的違規問題,這些問題極易造成群死群傷的惡性火災事故。筆者結合工作實際,主要就人員密集場所火災隱患的成因及預防對策問題進行探討。
一、人員密集場所的特點
(一)場所所在建筑使用性質變更。酒吧、網吧、飯店等人員密集場所很少使用獨立的建筑,經營者一般都是租用建筑物的一部份進行裝修和改造,有的是在商場、辦公樓的某個樓層,有的在停用的倉庫或廠房內,有的在居民住宅樓首層,有的甚至在居民住宅樓內改建。這些建筑原設計不是用作人員密集場所,內部的消防設計不能滿足人員密集場所的相關要求。將這些建筑隨意改為人員密集場所不僅改變了建筑的使用性質,也給場所帶來了“先天性的火災隱患”。
(二)建筑面積比較小。一般為幾十或幾百平方米不等,通常設置在建筑底層,樓層高度4~5米。租賃戶或經營戶為“充分”利用空間,將樓層分隔成兩層,有的甚至在中間形成一個小中庭,由于底層樓層分隔必然會引起安全出口數量不足,人員聚集的多,人員疏散困難。這是造成群死群傷事故的重要原因。
(三)人員密集場所經營項目的多樣性。酒吧、網吧、卡拉OK房、美容美發店、茶藝樓等,應有盡有。
(四)裝修相對高檔化。由于商業需要,最大限度地吸引顧客而贏利,往往因造型和突出宣傳效果而采用大量木材、塑料、纖維織品等可燃易燃材料進行裝修,直接導致火災荷載大幅度增加。
(五)安全出口、疏散通道設置不符合要求。設置的門多數是推拉門、轉門等,門向內開啟,而且有的還在門口1.4米范圍內設置踏步;疏散通道采用木板等可燃材料搭建,寬度不夠;室外疏散小巷寬度達不到3米的要求。
二、人員密集場所火災隱患的成因
(一)違章裝飾裝修。《建筑內部裝修設計防火規范》明確規定了建筑物頂棚、墻面等部位以及窗簾、帷幕等裝飾織物必須滿足的燃燒性能等級要求。然而有的裝飾工程設計、施工單位任意降低防火標準,人為造成很多火災隱患。
(二)消防安全管理制度不健全。各類人員密集場所用火用電、防火檢查、控制室值班、員工培訓、消防設施維修保養、火災隱患整改、滅火和應急疏散演練以及消防安全操作規程等必須建立消防安全管理制度。有的雖然建立了一些內部管理制度,但不符合本單位或公共場所安全管理的實際,制度內容不具體、不全面,有的規定內容與現行消防法律法規規定不相一致,缺乏可操作性。
(三)某些人員密集場所未經消防審核,有的未經驗收擅自投入使用,或隨意改變建筑物內部結構,擅自改變場所的使用性質;有的驗收不合格就投入使用,而與之相匹配的消防安全基礎設施沒有跟上,事后又無法彌補,有的消防水壓不足、室內消火栓數量不足,致使消防設施先天不足,留下了火災隱患,增大了發生火災的危險性。
(四)消防器材和安全疏散設施不符合規范要求,設置位置不夠合理。有的建筑內部缺少自動消防設施或建筑消防設施不能正常運行,一旦發生火災事故,不能發揮應有的作用。
三、人員密集場所火災隱患預防及對策
(一)進一步加強消防安全管理。主要采取以下措施:
1.從源頭抓起,嚴把“四關”
成人謎語范文5
關鍵詞:七氟醚;全身吸入麻醉;蘇醒時間;用藥安全性
目前,我國臨床上采用全身吸入物一般是七氟醚和異氟醚,但由于其臨床麻醉效果論述不一,使兩種藥物具有較大的爭議[1]。現就選取2015年3月~2016年3月在我院接受治療的80例全身吸入麻醉成人患者進行對照研究,現將研究內容匯報如下。
1資料與方法
1.1一般資料 選取2015年3月~2016年3月在我院接受治療的80例全身吸入麻醉成人患者,按照物的不同將其分為治療組和對照組,各40例。對照組,男25例,女15例,年齡45~83歲,平均年齡(79.8±38.3)歲;體重40~66 kg,平均體重(58.6±38.6)kg;身高155~181 cm,平均身高(178.2±149.3)cm。治療組,男21例,女19例,年齡49~85歲,平均年齡(52.3±28.1)歲;體重43~69 kg,平均體重(65.6±41.6)kg;身高158~183 cm,平均身高(180.2±154.3)cm。經比較,兩組患者在性別、年齡、體重、身高上無明顯差異(P>0.05),具有可比性。
1.2麻醉方法 治療前將所有患者靜脈注射丙泊酚;對照組異氟醚吸入麻醉,首次吸入1.0MAC,采用麻醉氣體檢測儀檢測患者呼出或者吸入的異氟醚濃度,再根據其濃度進行增減劑量,在手術期間要保證患者100%吸氧,待手術結束后,繼續檢測其濃度,在結合其他藥物進行治療即可。治療組七氟醚吸入麻醉,操作步驟與對照組一致。
1.3觀察指標 比較兩組患者的麻醉效果、MMSE評分指標和蘇醒時間 麻醉效果可通過患者的自主呼吸恢復情況,睜眼時間,拔管時間,定向例恢復情況上觀察;MMSE評分指標,通過觀察患者在麻醉前,術后2 h,12 h,24 h內的評分指標進行統計分析,總分為30分[2]。
1.4統計學方法 應用軟件SPSS11.0對兩組的數據進行分析與處理,P
2結果
2.1比較兩組患者的麻醉效果 通過觀察兩組患者自主呼吸恢復情況,睜眼時間,拔管時間,定向例恢復情況,分析其麻醉效果,見表1。
2.2比較兩組患者的MMSE評分指標 兩組患者在麻醉前和24 h MMSE評分無明顯差異(P>0.05),在其他階段差異顯著,見表2。
2.3比較兩組患者的蘇醒時間 對照組患者的蘇醒時間是(18.01±9.12)min;治療組患者的蘇醒時間(12.33±5.3)min。治療組患者的蘇醒時間短于對照組,兩組差異顯著(P
3討論
異氟醚是一種臨床上常用的吸入物,能夠快速的使血液達到平衡,具有較好的麻醉安全性,抑制中樞神經系統,減少患者的腦耗氧量,增多腦血流量,使其顱內壓升高,糾正通氣,抑制神經肌肉和循環系統;但是,其鎮痛效果較差,麻醉恢復慢,術后蘇醒期躁動發生率高[3]。
七氟醚是一種新型吸入物,是近幾年來引入臨床的物,其本身具有異氟醚的功效外,對心血管系統、腦血流量、顱內壓的影響較其物小,還彌補了異氟醚的缺點,其麻醉效果好,鎮痛效果較好,術后麻醉恢復較快,術后蘇醒期躁動發生率低等[4]。
這次研究中,治療組患者的麻醉效果突出,與對照組相比有統計學意義(P
綜上所述,對于全身吸入麻醉患者使用七氟醚進行吸入麻醉,可縮短蘇醒時間,提高麻醉效果,且安全性較好,對全身吸入麻醉患者具有較大的意義。為臨床麻醉工作提供較為安全的依據。臨床上應廣泛采用。
參考文獻:
[1]羅艷,姚尚龍,楊拔賢,等.中國麻醉醫師在全身麻醉中七氟醚使用習慣的多中心研究[J].臨床麻醉學雜志,2016,1(12):6-9.
[2]吳新民,鄧小明,黃文起,等.七氟醚用于成人全身吸入麻醉的隨機、開放、多中心、陽性對照臨床研究[J].臨床麻醉學雜志,2007,9(13):709-711.
[3]H Chen,B Zheng.Characterizing natural dissolved organic matter in a freshly submerged catchment(Three Gorges Dam,China) using UV absorption, fluorescence spectroscopy and PARAFAC[J]. Water science and technology:a journal of the International Association on Water Pollution Research, 2012,65(5):962-969.
成人謎語范文6
關鍵詞:云計算;Had00p Distributed File system;身份認證;Kerberos;公鑰加密
DoI:10.15938/j.jhust.2016.04.003
中圖分類號:TP99
文獻標志碼:A
文章編號:1007-2683(2016)04-0013-06
0引言
Hadoop是Apache基金會旗下一款具備PT級數據存儲與分析能力的分布式系統基礎架構,作為云計算領域內海量數據的存儲與計算的核心技術取得了廣泛的應用,該架構主要由分布式文件系統HDFS(Hadoop Distributed File System)與分布式編程模型Mapreduce兩個核心組件組成.HDFS是Google的分布式文件系統GFS(Goode File Sys-tern)的開源實現,為Hadoop平臺提供基礎的分布式文件存儲服務,是整個Hadoop得以運行的基礎。在身份認證安全方面,HDFS是基于Kerberos協議實現的.但鑒于對稱密鑰機制下的Kerberos其安全性面臨著很大的不足,很多學者也做了相關的研究.張曉提出了一種基于PKI改進的Kerberos協議,該方案通過使用公鑰加密機制代替對稱密鑰機制使得認證協議安全性達到了公鑰級別,但在時間效率上卻有著不足,邵葉秦等提出了一種公鑰加密機制與私鑰加密機制相結合的Kerberos協議,在安全性和時間上均有所提高,但由于對稱密鑰是由密鑰分發中心KDC生成,在對稱密鑰交換上存在安全漏洞.李延改等提出了一種基于數字證書CA的HDFS環境下的認證及安全傳輸機制,該改進為通信雙方提供證明自身身份的數字證書,實現了通信雙方的身份認證,但管理過于繁多的數字證書增加了使用者的開銷。
本文將在綜合分析HDFS現存Kerberos認證機制的基礎上,充分利用公鑰加密機制與對稱密鑰加密機制各自特點,將對稱密鑰的生成管理方由集中式的KDC改變為分布式的集群服務申請者,以期最終給出一套完善的HDFS環境下的Kerberos協議身份認證機制。
1.Kerberos應用分析
Hadoop在設計之初,默認整個集群是在一個可信任的域中,并沒有為集群引入各實體間的認證機制,隨著Hadoop應用的不斷普及Hadoop設計者也逐漸意識到集群存在的安全性問題,針對Hadoop的安全缺陷,自Hadoopl.0.0版本后,為其引入了基于Kerberos協議的第三方安全身份認證機制,用于保障各通信節點間的可信性。
1.1基于Kerberos協議下的HDFS認證機制
Kerberos最初是由MIT研發的,當前最新的協議版本為Kerberos V5,該協議可為處于不安全的網絡環境下通信的雙方提供可信認的身份認證機制,該協議在網絡安全與身份認證領域有著廣泛的應用,HDFS下Kerberos的基本原理:在Hadoop集群中建立一個集中保存客戶端、DataNode以及NameNode的用戶名和密碼的認證中心KDC,進行用戶的身份認證和授權工作,KDC在是由兩個邏輯上相互獨立的認證服務器AS和票據發放服務器TGS組成的,Hadoop集群下的任何需要申請服務的用戶在申請服務時,首先通過與AS服務器通信獲得票據授權票據TGT,然后利用TGT與TGS服務器通信獲取用于服務的票據Ticket,最后用戶利用票據Ticket與所需服務提供節點通信取得服務。
HDFS下Kerberos協議具體實現過程如圖4所示
1.2 HDFS下Kerberos協議安全性分析
通過為HDFS引入Kerberos協議,解決了原有HDFS集群所遇到的如下安全問題
1)非法用戶利用Hadoop集群的動態擴展特性,偽裝成DataNode節點服務器加入到HDFS集群內,接收NameNode分派的文件數據信息;
2)非法用戶通過更改網絡發送數據包偽裝成授權用戶的身份,向NameNode與DataNode請求服務資源;
3)在非安全的網絡環境中,非法用戶可以竊聽數據報文的交換過程,并可使用重放攻擊干擾Nam―eNode、DataNode服務器的正常運行.
雖然Kerberos協議可以為HDFS提供身份認證機制,但是HDFS下的Kerberos身份認證機制還存在局限性,面臨著如下安全問題:
1)HDFS集群時間同步性問題.由于在整個Kerberos協議身份認證過程中會通過借助對比時間戳來判斷用戶身份真實性,這就要求整個HDFS集群內部網絡具備很高的時鐘同步能力,而這對于構建于廉價商用機群之上的HDFS集群來說難于實現的.即使HDFS集群所處的Kerberos服務域內可做到高度的時鐘同步,使得接收方可以在規定的可信時間內(通常設置t=5min)得到新消息,但只要惡意用戶事先準備好偽造的消息,一旦截獲服務票據并馬上發出,Kerberos機制是難以在這5分鐘內檢測出惡意用戶發起的攻擊。
2)KDC的安全性及“瓶頸”問題.KDC作為Kerberos認證協議中的一個重要組成部分,用于存儲和分發HDFS集群客戶端、NameNode和DataNode的密鑰等相關信息.一方面,集中式的密鑰存儲簡化了整個系統的管理復雜難度,然而一旦KDC被惡意用戶攻破,則將會對整個HDFS集群安全造成災難性的打擊;另一方面為應對非法用戶惡意收集票據用于重放攻擊,KDC需要為密鑰設定一個安全的有效期時限,這樣的設計使得HDFS集群認證申請方為保證自身持有密鑰的有效性需要周期性的向KDC申請票據.鑒于HDFS自身集群規模龐大性以及申請方需要周期性的向中心服務器KDC提出申請,這將導致服務器服務能力下降和處理能力減弱,產生性能瓶頸。
3)字典攻擊問題.在Kerberos認證過程中,AS服務器并不是直接驗證用戶身份,而是通過返回用客戶端密鑰Kc加密的TGT信息,只有知道Kc的用戶才可解密得到TGT,進而進行后續的認證步驟.然而目前即使引入了認證技術及數據加密技術的強健安全網絡(RSN)在通信安全方面依然存在相關的安全隱患,汪定。等指出即使在強健安全網絡(RSN)環境下,基于中間人MitM的信息篡改、信息竊取等攻擊方式依然具有嚴重威脅性,并提出中一個關于MitM攻擊的框架和有效攻擊條件,給出該框架下一個有效攻擊實例,因此若惡意用戶可在HDFS集群通信線路上收集足夠數量的TGT信息,從而可以通過離線的口令分析技術,進行針對性的密鑰破解.針對惡意用戶的離線分析狀況,基于對稱加密體制目前還無法給出有效性防止方案.
4)抵賴機制問題.有效的不可抵賴機制是現如今通信網絡雙方所極為推崇的重要安全技術.當前的不可抵賴機制實現是基于數字簽名技術,而數字簽名的實現則依賴于散列函數與公鑰加密算法.由于Kerberos協議采用的是對稱加密機制而非公私鑰機制,所以也就不能為信息的發送方提供數字簽名技術,不能實現HDFS集群認證過程中發送信息不可抵賴機制。
為消除HDFS下Kerberos身份認證機制的這些局限性問題,本文將會在Hadoop集群現有的認證機制的的框架內就Kerberos協議做出適當的修改,通過為Kerberos協議引入非對稱加密體質,充分利用現有非對稱密鑰機制的特點解決上述Hadoop集群身份認證問題。
2.Kerberos改進及實現
在保證現有Kerberos認證框架前提下,本方案對Kerberos協議認證內容做了改進性修正(具體流程參見圖5).首先,服務申請方在生成請求信息時摒棄了原有協議中采取的對稱加密方式,而是采用公鑰加密技術對傳輸信息進行安全級別更高的公鑰加密,并且加密信息中包含本次連接所使用的對稱加密密鑰;其次,在HDFS集群用戶認證信息發送的端與端之間引入數字簽名技術,對所需傳輸內容采取先簽名后傳輸策略;最后,鑒于公鑰加密技術的引進,修改后協議在認證信息方面只保留了基本的信息字段,舍棄了不再需要的IP地址等信息,做到了HDFS集群內端與端之間傳遞認證信息精簡化。
改進后協議認證流程如下:
2.1 Client請求NameNode
認證過程中用到符號說明如下:
Client:服務的請求方
KDC:Key Distribute Center密鑰分發中心
2.2 Client請求DataNode服務過程
該部分認證同Client請求NameNode服務過程類似,限于篇幅不再累述.
3.結果分析
下面將分別從安全性與時間效率兩個方面對改進后的Kerberos協議在HDFS下身份認證過程進行分析.
3.1安全性分析
通過對傳輸信息的數據簽名確保了發送者的身份的可識別,通過對傳輸數據的公鑰加密確保了只有私鑰持有者可以解密得到正確的數據,這一改進解決了原有認證機制的安全隱患,具體安全性分析如下:
1)相比較于改進前,改進后的認證協議對集群內時間同步性要求降低.由于只有擁有私鑰的一方才可以解密使用公鑰加密的數據并且公鑰加密體制破解難度大,使得時間戳在認證協議中變為輔助判斷票據有效性和防止重放攻擊的手段.
2)改進后的Kerberos協議引入公鑰加密體制,用戶各自本地化存儲私鑰,公鑰信息在集群內獲得,使得KDC服務器無需實現集中存儲包含所有用戶密碼機密敏感信息.通過此改進將極大降低了KDC服務可能面臨的安全隱患,即使KDC服務器被攻破,攻擊者也無法獲取用戶的私鑰信息,無法冒充用戶身份取得服務。
3)通過引入公鑰加密,使得改進后認證過程杜絕了字典攻擊的發生。
4)在用戶、KDC服務器、NameNode和DataNode的認證信息發送、接收過程中都使用了公私鑰加密及私鑰簽名,基于私鑰的私有性,使得信息發送方的身份真實性得到了有效的證明,防止了抵賴.
3.2效率分析
實驗仿真
測試系統中使用一臺服務器作為獨立密鑰分發中心KDC,一臺服務器作為NameNode節點,三臺服務器為DataNode節點,三臺服務器作為Client節點.測試系統使用Hadoop-1.0.O版本搭建,各個組成部分所使用的軟硬件配置如表1:
為最大限度的減少機器本身性能對實驗數據的影響,現將改進前后的兩套系統分別部署到相應的機器上,依次驗證兩套系統在不同請求規模級別下用戶認證過程所需的平均時間值.現在分別對以下幾種規模性請求情況進行測試:3個認證請求、15個認證請求、30個認證請求、45個認證請求、60個認證請求、90個認證請求、105個認證請求、120個認證請求、135個認證請求。
注:為使實驗接近真實規模,在有限的三臺Cli.ent上采用了改變請求信息中IDc字段值的辦法模擬不同的申請者,已達到規模性認證請求情況.
下圖是認證協議改進前后兩種情況所對應的平均時間測試的對比結果:
通過圖6關于認證協議改進前與改進后的對比實驗結果可以得出:在該實驗環境下,隨著請求次數增加二者均呈近似線性增長趨勢,但改進后增長幅度要小于改進前.在請求低于120以下時改進后時間需求要大于改進前,但隨著請求高于120次改進后時間效率更占優勢.總之,改進后更適用于大規模請求,更適合Hadoop集群環境下的身份認證請求過程。
