HDFS数据加密空间--Encryption zone

最新推荐文章于 2023-07-23 08:30:55 发布
VIP文章 最新推荐文章于 2023-07-23 08:30:55 发布
阅读量1.9w 收藏 9
点赞数 2
分类专栏: HDFS Hadoop 安全 文章标签: 数据 加密 hdfs 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Androidlushangderen/article/details/51396894
版权

前言

之前写了许多关于数据迁移的文章,也衍生的介绍了很多HDFS中相关的工具和特性,比如DistCp,ViewFileSystem等等.但是今天本文所要讲的主题转移到了另外一个领域数据安全.数据安全一直是用户非常重视的一点,所以对于数据管理者,务必要做到以下原则:

数据不丢失,不损坏,数据内容不能被非法查阅.

本文所主要描述的方面就是上面原则中最后一点,保证数据不被非法查阅.在HDFS中,就有专门的功能来做这样的事情,Encryption zone,数据加密空间,

Encryption zone综述

HDFS Encryption zone加密空间是一种end-to-end(端到端)的加密模式.其中的加/解密过程对于客户端来说是完全透明的.数据在客户端读操作的时候被解密,当数据被客户端写的时候被加密,所以HDFS本身并不是一个主要的参与者,形象的说,在HDFS中,你看到的只是一堆加密的数据流.

Encryption zone原理介绍

了解HDFS数据加密空间的原理对我们使用Encryption zone有很大的帮助.Encryption zone是HDFS中的一个抽象概念,它表示在此空间的内容在写的时候会被透明的加密,同时在读的时候,被透明的解密.这就是核心所在.具体到细小的细节.

  • 1.每个encryption zone 会与每个encryption zone key相关联,而这个key就是会在创建encryption zone的时候同时被指定.
  • 2.每个encryption zone中的文件会有其唯一的data encryption key数据加密key,简称就是DEK.
  • 3.DEK不会被HDFS直接处理,取而代之的是,HDFS只处理经过加密的DEK, 就是encrypted data encryption key,缩写就是EDEK.
  • 4.客户端询问KMS服务去解密EDEK,然后利用解密后得到的DEK去读/写数据.

在第四步骤有一个很重要的过程:

在客户端向KMS服务请求时候,会有相关权限验证,不符合要求的客户端将不会得到解密好的DEK.而且KMS的权限验证是独立于HDFS的,是自身的一套权限验证.

下面是对应的原理展示图:

这里写图片描述

Key Provider可以理解为是一个key store的保存库,其中KMS是其中的一个实现.

Encryption zone源码实现

这个小节,我们将从源码的层面对上述原理做跟踪分析.这里可以分为2大方向,1个是创建文件,并且写文件数据;2.读文件数据内容.

Encryption zone下的写文件

首先客户端发起createFile请求,到了NameNode这边,会调用startFile方法,里面就会有DEK,EDEK的生成

  private HdfsFileStatus startFileInt(final String src,
      PermissionStatus permissions, String holder, String clientMachine,
      EnumSet<CreateFlag> flag, boolean createParent, short replication,
      long blockSize, CryptoProtocolVersion[] supportedVersions,
      boolean logRetryCache)
      throws IOException {
    ...
    FSDirWriteFileOp.EncryptionKeyInfo ezInfo = null;
    // 判断key provider是否为空
    if (provider != null) {
      readLock();
      try {
        checkOperation(OperationCategory.READ);
        // 不为空,就生成EncryptionKey info.
        ezInfo = FSDirWriteFileOp
            .getEncryptionKeyInfo(this, pc, src, supportedVersions);
      } finally {
        readUnlock();
      }

      // Generate EDEK if necessary while not holding the lock
      if (ezInfo != null) {
        // 然后根据ezInfo的key名称生成EDEK信息在ezInfo中
        ezInfo.edek = FSDirEncryptionZoneOp
            .generateEncryptedDataEncryptionKey(dir, ezInfo.ezKeyName);
      }
      EncryptionFaultInjector.getInstance().startFileAfterGenerateKey();
    }

    ...
      try {
        // 继续调用startFile方法
        stat = FSDirWriteFileOp.startFile(this, pc, src, permissions, holder,
                                          clientMachine, flag, createParent,
                                          replication, blockSize, ezInfo,
                                          toRemoveBlocks, logRetryCache);
        ...

继续方法的调用

  static HdfsFileStatus startFile(
最低0.47元/天 解锁文章
Android路上的人
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
HDFS透明加密 从入门到放弃
lishinho的博客
03-28 3700
这篇文章需要一点hadoop框架的基础,你最好需要知道什么是hadoop,以及需要了解hadoop的文件系统hdfs。如果你不了解的话,我会尝试用简单的原理来解释,希望能对你有用,这期内容可能有些烧脑,可以多读几遍,我也有学习不足的地方,欢迎提问。 目录 一,什么是HDFS 二,什么是透明加密 三,用户如何使用hdfs透明加密功能 四,hdfs如何实现透明加密 一,什么是HDFS h...
hdfs-over-ftp安装包及说明
12-08
hdfs-over-ftp安装包及说明
Hadoop运维记录系列(二十七)
weixin_34032827的博客
04-10 393
记录一个调试 pyspark2sql 访问 HDFS 透明加密的问题。访问源码如下,使用 pyspark2.1.3,基于 CDH 5.14.0 hive 1.1.0 + parquet,其中select的部分会访问 hdfs 加密区域。frompyspark.sqlimportSQLContext frompyspark.sqlimportHiveContext,...
hadoop-KMS密钥管理服务配置使用
shy_snow的专栏
02-23 4713
KMS是hadoop自2.6.0版本开始自带的一个密钥管理web服务,提供了一系列API来创建,获取和维护密钥。kms与hadoop结合,可以实现hdfs客户端数据加密传输以及细粒度的权限控制。 本文使用Hadoop 2.6.0-cdh5.13.3为例进行kms服务配置启动及hdfs文件加密传输示例。 配置kms 密钥仓库的文件位置和操作密码 1. kms-site.xml (一般默认的就可以了不修改也行) <property> <name>hadoop...
Spark向Hive表写数据报错
邢为栋
04-30 2532
问题 描述 环境说明:我使用的是Hadoop生态软件都是社区版。 使用Spark SQL向Hive表写数据数据写入正常,并没有发现其他任何异常,但是日志信息出现一个ERROR,如下: ERROR hdfs.KeyProviderCache: Could not find uri with key [dfs.encryption.key.provider.uri] to create a keyP...
Hadoop-kms总结
yunduanyou的博客
07-31 7040
一.前言该文档讲述hadoop的kms组件的概念以及使用二.概念1). 官方说明: Hadoop KMS是一个基于 Hadoop的 KeyProvider API的用密码写的 key 管理server。Client是一个KeyProvider的实现,使用KMS HTTP REST API与KMS交互。 KMS和它的客户端内置安全和它们支持HTTP SPNEGO Kerberos 身份验证和
HADOOP KMS使用介绍及性能测试
zhuzhenlong的博客
02-19 2443
简介 HDFS 在kms之上实现了透明的端到端加密 常用操作 创建key 查看key 使用key创建加密区 查看加密区 设置kms acl kms使用场景验证 验证一: 加密区文件在hdfs上是否真的加密 验证二: 一个用户创建加密区,另一个用户是否可以写文件进去 验证三: 使用kms,设置加密区之后性能影响多大 方式一: 使用hadoop benchmark的TestDF...
HDFS配置文件hdfs-site
05-31
HDFS测试环境配置文件,稳定运行无异常,分享给大家学习参考用;
Hadoop 3.x(HDFS)----【HDFS 的 API 操作】---- 代码
09-10
Hadoop 3.x(HDFS)----【HDFS 的 API 操作】---- 代码 Hadoop 3.x(HDFS)----【HDFS 的 API 操作】---- 代码 Hadoop 3.x(HDFS)----【HDFS 的 API 操作】---- 代码 Hadoop 3.x(HDFS)----【HDFS 的 API 操作】--...
HDFS入门笔记------架构以及应用介绍
02-25
本篇博客将从以下几个方面讲述HDFS:1、分布式文件系统与HDFS2、HDFS的体系结构3、HDFS—-NameNode相关概念4、HDFS—-DataNode相关概念5、HDFS—-block块相关概念6、HDFS—-副本数相关概念7、HDFS的具体操作方式①...
07.HDFS工作机制--namenode元数据管理--checkpoint.mp4
04-29
07.HDFS工作机制--namenode元数据管理--checkpoint.mp4
HDFS透明加密原理解析
breakout_alex的博客
06-06 2495
目录: 1.HDFS透明加密 2.实现原理 3.KMS ACL用户权限配置 一. HDFS透明加密 HDFSEncryptionZone加密空间,即HDFS透明加密,是一种端到端的加密模式,其中加解密过程对于客户端来说是完全透明的。 数据在客户端写操作时被加密数据在客户端读操作时被解密,hdfs服务端本省并不是主要参与者。主要作用是保证加密空间内的数据不被非法查询。 ...
【大数据】Hadoop-Kms 安装及相关详细配置,看完你就会了
如切如磋,如琢如磨,臻于至善。
02-11 1004
Hadoop KMS是基于Hadoop的KeyProvider API的加密密钥管理服务器,它提供了使用REST API通过HTTP进行通信的客户端和服务器组件。客户端是一个KeyProvider实现,使用KMS HTTP REST API与KMS交互。KMS及其客户端具有内置的安全性,它们支持HTTP SPNEGO Kerberos身份验证和HTTPS安全传输。KMS是一个Java Jetty web应用程序。KMS与Hadoop结合,可以实现HDFS客户端透明的数据加密传输以及细粒度的权限控制。
HDFS加密和访问控制策略
互联网知识分享
07-23 538
的权限模型由文件和目录的所有者、所有组和其他用户的权限组成。权限模型由文件和目录的所有者、所有组和其他用户的权限组成。数据加密分为客户端加密和服务器端加密,可以确保数据在传输和存储的过程中的安全性。这些命令行工具可以用来设置文件和目录的访问权限,以及修改文件和目录的所有者和所有组。传输加密是指在数据传输的过程中对数据进行加密,防止数据在传输过程中被拦截和篡改。数据加密是指在数据存储的过程中对数据进行加密,防止未经授权的用户访问敏感数据。可以用来设置文件和目录的访问权限,以及修改文件和目录的所有者和所有组。
hdfs的透明加密记录
huan的学习记录
06-19 533
我们知道,在hdfs中,我们的数据是以block块存储在我们的磁盘上的,那么默认情况下,它是以密文存储的,还是以明文存储的呢?如果是明文存储的,那么是否就不安全呢?那么在hdfs中是如何做才能做到数据的透明加密呢?
HDFS高级-数据安全和隐私保护
qq_46439199的博客
11-12 674
HDFS高级-数据安全和隐私保护
HDFS 透明加密使用Keystore和Hadoop KMS、加密区域、透明加密关键概念和架构、KMS配置
qq_40585384的博客
12-13 3856
**HDFS**透明加密(Transparent Encryption)支持端到端的透明加密,启用以后,对于一些需要加密HDFS目录里的文件可以实现透明的加密和解密,而不需要修改用户的业务代码。端到端是指加密和解密只能通过客户端。对于加密区域里的文件,HDFS保存的即是加密后的文件,文件加密的秘钥也是加密的。让非法用户即使从操作系统层面拷走文件,也是密文,没法查看。
Hadoop KMS 使用
eyoulc123的博客
09-26 3694
Hadoop KMS配置以hdfs的单机环境为例说明搭建过程1. hdfs配置1) 下载hadoop 2.6以上的版本,解压之后,配置HADOOP_HOMEexport HADOOP_HOME=/root/hadoop-2.7.4 export PATH=${PATH}:${HADOOP_HOME}/bin 2) 配置core-site.xml与hdfs-site.xml core-site.x
HDFS书笔记---5.2 文件读操作与输入流(5.2.2)---上
weixin_39935887的博客
11-22 771
5.2.2 读操作--DFSInputStream实现    HDFS目前实现的读操作有三个层次,分别是网络读、短路读(short circuit read)以及零拷贝(zero copy read),它们的读取效率一次递增。 网络读: 网络读是最基本的一种HDFS读,DFSClient和Datanode通过建立Socket连接传输数据。 短路读: 当DFSClient和保存目标数据块的...
hdfs dfs -du -h
最新发布
08-19
`hdfs dfs -du -h` 是一个Hadoop命令,用于显示HDFS中文件和目录的大小信息,并以人类可读的方式显示文件大小。它的语法如下: ``` hdfs dfs -du -h <路径> ``` 其中,`<路径>`是要显示大小信息的HDFS路径。 运行该命令后,会显示指定路径下的文件和目录的大小信息。每行显示一个文件或目录,包括文件/目录的大小以及路径。 例如,要显示`/user/hadoop/data`路径下的文件和目录的大小信息,可以运行以下命令: ``` hdfs dfs -du -h /user/hadoop/data ``` 输出结果会以人类可读的方式显示文件和目录的大小信息,如: ``` 1.5 M /user/hadoop/data/file1.txt 2.3 G /user/hadoop/data/file2.txt 4.8 K /user/hadoop/data/dir1 ``` 上述结果表示`file1.txt`的大小为1.5兆字节,`file2.txt`的大小为2.3吉字节,`dir1`的大小为4.8千字节。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值