Block Token

最新推荐文章于 2022-05-12 00:27:16 发布
最新推荐文章于 2022-05-12 00:27:16 发布
阅读量300 收藏 1
点赞数
分类专栏: Hadoop Token 文章标签: hadoop hdfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PyDongJava/article/details/117089933
版权

Block Token

Block Token解决的问题

Hadoop 安全需要解决的两个问题:

  1. 认证:解决用户身份合法性验证问题
  2. 授权:解决认证用户的操作范围问题
    认证问题通过Kerberos得到很好的解决,而且Hadoop内部设计了一套Token机制完美实现安全认证问题,同时在性能上得到保证
    虽然解决了认证问题,但是存在安全隐患,尤其在DataNode端,比如客户端只要获取数据块信息之后就可以直接访问DataNode,对Block进行随意读写甚至是删除操作。换句话说,如果通过特殊方法获取集群的所有数据块集合,就存在单一认证用户清空整集群数据的可能。
    Block Token 就是为了解决如上问题

Block Token 知识

BlockToken方案采用HMAC(Hash Message Authentication Code)技术实现对合法请求的访问认证检查。

HMAC是一种基于加密HASH函数和共享密钥的消息安全认证协议,它可以有效地防止数据在传输的过程中被截取和篡改,维护数据的安全性、完整性和可靠性。HMAC可以与任何迭代散列函数捆绑使用,MD5和SHA-1就是这种散列函数。实现原理是用公开函数和密钥对原始数据产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。使用密钥生成一个固定大小的小数据块即HMAC,并加入到消息中传输。接收方利用与发送方共享的密钥对接收到的消息进行认证和合法性检查。这种算法是不可逆的,无法通过消息摘要反向推导出消息,因此又称为单向散列函数。HMAC能有效保证数据的安全性、完整性和可靠性
HMAC算法流程

  1. 消息传递前,A和B约定共享密钥;
  2. A把要发送的消息使用共享密钥计算出HMAC值,然后将消息和HMAC发送给B;
  3. B接收到消息和HMAC值后,使用共享密钥计算消息本身的HMAC值,与接收到的HMAC值对比;
    如果HMAC值相同,说明接收到的消息是完整的,而且是A发送的;

BlockToken方案里默认使用了经典的HMAC-SHA1算法,对照前面的流程,在HDFS里A可以代表NameNode,B代表DataNode,客户端在整个过程中仅作为数据流转的节点。简单说,只要NameNode给客户端发放了BlockToken,即可认证该客户端是可信赖的,DataNode检查BlockToken通过后就必须接受客户端表述的所有权限。

Block Token机制实现

Block Token机制是整个Hadoop生态里安全协议的重要组成部分,对HDFS来说,主要包括两个部分:

  1. 客户端经过初始认证(Kerberos),从NameNode获取DelegationToken,作为后续访问HDFS的凭证;
  2. 客户端真正读写数据前,请求NameNode获取对应Block的信息和BlockToken,根据结果向对应DataNode请求读写数据。请求到达DataNode端后,根据提供的BlockToken进行安全验证,通过验证后才能继续后续步骤,否则请求失败;
    其中LocatedBlock是衔接整个读写流程的重要数据结构:
public class LocatedBlock {
private final ExtendedBlock b;
  private long offset;  // offset of the first byte of the block in the file
  private final DatanodeInfoWithStorage[] locs;
  /** Cached storage ID for each replica */
  private final String[] storageIDs;
  /** Cached storage type for each replica, if reported. */
  private final StorageType[] storageTypes;
  // corrupt flag is true if all of the replicas of a block are corrupt.
  // else false. If block has few corrupt replicas, they are filtered and
  // their locations are not part of this object
  private boolean corrupt;
  private Token<BlockTokenIdentifier> blockToken = new Token<>();
}
public class BlockTokenIdentifier extends TokenIdentifier {
  // 用来表示Token的类型
  static final Text KIND_NAME = new Text("HDFS_BLOCK_TOKEN");
  private long expiryDate;
  private int keyId;
  private String userId;
  private String blockPoolId;
  private long blockId;
  private final EnumSet<AccessMode> modes;
  private StorageType[] storageTypes;
  private String[] storageIds;
  private boolean useProto;
  private byte[] handshakeMsg;
}
public enum AccessMode {
    READ, WRITE, COPY, REPLACE
}

从NameNode的getBlockLocations中查看,获取的LocatedBlocks需要加入BlockToken

LocatedBlocks getBlockLocations(String clientMachine, String srcArg,
      long offset, long length) throws IOException {
      // 最后一个参true就是代表needBlockToken
      res = FSDirStatAndListingOp.getBlockLocations(
            dir, pc, srcArg, offset, length, true);
}
private LocatedBlock createLocatedBlock(LocatedBlockBuilder locatedBlocks,
      final BlockInfo blk, final long pos, final AccessMode mode)
          throws IOException {
          final LocatedBlock lb = createLocatedBlock(locatedBlocks, blk, pos);
    // 设置BlockToken
    if (mode != null) {
      setBlockToken(lb, mode);
    }
}
public void setBlockToken(final LocatedBlock b,
      final AccessMode mode) throws IOException {
      // dfs.block.access.token.enable来控制是否生成BlockToken,默认不开启
      if (isBlockTokenEnabled()) {
      blockTokenSecretManager.generateToken();
      }
}

public Token<BlockTokenIdentifier> generateToken(String userId,
      ExtendedBlock block, EnumSet<BlockTokenIdentifier.AccessMode> modes,
      StorageType[] storageTypes, String[] storageIds) {
      BlockTokenIdentifier id = new BlockTokenIdentifier(userId, block
        .getBlockPoolId(), block.getBlockId(), modes, storageTypes,
        storageIds, useProto);
      return new Token<BlockTokenIdentifier>(id, this);
}
public Token(T id, SecretManager<T> mgr) {
    password = mgr.createPassword(id);
    identifier = id.getBytes();
    kind = id.getKind();
    service = new Text();
}

namenode返回的BlockToken客户端是怎么传递给datanode

currentNode = blockSeekTo(pos);
private synchronized DatanodeInfo blockSeekTo(long target) {
    // 上面获取目标Block  targetBlock
    // 生成 blockReader
    blockReader = getBlockReader(targetBlock, offsetIntoBlock,
            targetBlock.getBlockSize() - offsetIntoBlock, targetAddr,
            storageType, chosenNode);
}

protected BlockReader getBlockReader(LocatedBlock targetBlock,
      long offsetInBlock, long length, InetSocketAddress targetAddr,
      StorageType storageType, DatanodeInfo datanode) throws IOException {
     Token<BlockTokenIdentifier> accessToken = targetBlock.getBlockToken();
    // 生成BlockReader
    return new BlockReaderFactory(dfsClient.getConf()).setBlockToken(accessToken).build();
}

public BlockReader build() throws IOException {
    return getRemoteBlockReaderFromTcp();
}

private BlockReader getRemoteBlockReaderFromTcp() throws IOException {
    blockReader = getRemoteBlockReader(peer);
}

private BlockReader getRemoteBlockReader(Peer peer) throws IOException {
    return BlockReaderRemote.newBlockReader(token);
}

public static BlockReader newBlockReader(token) {
    // 创建Porto的时候将token发送过去
    new Sender(out).readBlock(block, blockToken, clientName, startOffset, len,
        verifyChecksum, cachingStrategy);
}

// DataXceiver
public void readBlock(final ExtendedBlock block,
      final Token<BlockTokenIdentifier> blockToken,
      final String clientName,
      final long blockOffset,
      final long length,
      final boolean sendChecksum,
      final CachingStrategy cachingStrategy) {
    checkAccess(out, true, block, blockToken, Op.READ_BLOCK,
        BlockTokenIdentifier.AccessMode.READ);
}

private void checkAccess() {
    checkAccess(out, reply, blk, t, op, mode, null, null);
}
private void checkAccess() {
    datanode.blockPoolTokenSecretManager.checkAccess(t, null, blk, mode,
            storageTypes, storageIds);
}
get(block.getBlockPoolId()).checkAccess(token, userId, block, mode,
        storageTypes, storageIds);
public void checkAccess() {
    BlockTokenIdentifier id = new BlockTokenIdentifier();
    id.readFields(new DataInputStream(new ByteArrayInputStream(token
          .getIdentifier())));
    // DataNode检查第一阶段
    checkAccess(id, userId, block, mode, storageTypes, storageIds);
    // DataNode检查第二阶段
    if (!Arrays.equals(retrievePassword(id), token.getPassword())) {
    }
}
 
public byte[] retrievePassword(BlockTokenIdentifier identifier) {
    BlockKey key = null;
    synchronized (this) {
      key = allKeys.get(identifier.getKeyId());
    }
    return createPassword(identifier.getBytes(), key.getKey());
}

BlockToken加密结构(使用块信息与用户信息生成BlockTokenIdentifier,然后生成一个BlockToken
Token之中的信息)

public BlockTokenIdentifier(String userId, String bpid, long blockId,
      EnumSet<AccessMode> modes, StorageType[] storageTypes,
      String[] storageIds, boolean useProto) {
    this.cache = null;
    this.userId = userId;
    this.blockPoolId = bpid;
    this.blockId = blockId;
    this.modes = modes == null ? EnumSet.noneOf(AccessMode.class) : modes;
    this.storageTypes = Optional.ofNullable(storageTypes)
                                .orElse(StorageType.EMPTY_ARRAY);
    this.storageIds = Optional.ofNullable(storageIds)
                              .orElse(new String[0]);
    this.useProto = useProto;
    this.handshakeMsg = new byte[0];
}
  
public Token(T id, SecretManager<T> mgr) {
    password = mgr.createPassword(id);
    identifier = id.getBytes();
    kind = id.getKind();
    service = new Text();
  }

protected byte[] createPassword(BlockTokenIdentifier identifier) {
    // 重点(NameNode与DataNode需要共享的一个密钥)
    BlockKey key = null;
    synchronized (this) {
      key = currentKey;
    }
    identifier.setExpiryDate(timer.now() + tokenLifetime);
    identifier.setKeyId(key.getKeyId());
    return createPassword(identifier.getBytes(), key.getKey());
}

一次完整的加密解密请求

  1. 客户端向NameNode发送Block请求
  2. NameNode经过权限检查,查找到对应数据块信息,生成对应的BlockToken放到LocateBlock返回给客户端
  3. 客户端收到LocateBlock之后,会先使用对应的Block信息创建通道的时候会将Blocks信息与Token信息全部发送给DataNode
  4. DataNode接收到读写信息之后,首先进行BlockToke校验,目的是对客户端的真实性及权限检查。根据从客户端提交过来的BlockTokenIdentifier分两步完成:
    (1) 将BlockToken里的BlockTokenIdentifier反序列化,检查客户端请求的数据块、访问权限及用户名是否与BlockToken里表达一致,如果检查通过进入下一步,否则直接失败;

Block Token 加密key更新逻辑

private class Monitor implements Runnable {
    // 定时更新SecretKey
    blockManager.shouldUpdateBlockKey(now - lastBlockKeyUpdate);
}
synchronized boolean updateKeys() throws IOException {
    // 移除过期Key
    removeExpiredKeys();
    // 设置当前Key最终过期时间
    allKeys.put(currentKey.getKeyId(), new BlockKey(currentKey.getKeyId(),
        timer.now() + keyUpdateInterval + tokenLifetime,
        currentKey.getKey()));
    // 生成新的当前Key
    currentKey = new BlockKey(nextKey.getKeyId(), timer.now()
        + 2 * keyUpdateInterval + tokenLifetime, nextKey.getKey());
    allKeys.put(currentKey.getKeyId(), currentKey);
    setSerialNo(serialNo + 1);
    nextKey = new BlockKey(serialNo, timer.now() + 3
        * keyUpdateInterval + tokenLifetime, generateSecret());
    allKeys.put(nextKey.getKeyId(), nextKey);
}
每次DataNodeManager处理DataNode心跳都会进行SecretKey的更新,NameNodee给DataNode回复心跳的时候会发送回去

对于NameNode与DataNode之前不会出现NameNode已经使用最新Key进行吧加密了Block,DataNode还没收到最新的这个Key,hdfs中是通过保存三份数据来处理一致性
在这里插入图片描述

东飞儿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Token generation
StaroForgin的博客
02-19 303
Token generation 题解 由于某些原因就采用英文名了 看到这道题,我们很快就发现使得F(Q)F(Q)F(Q)增加的值,存在这样的构造1...10...01...10...01...10...0,即开头是一段连续的111,之后全是000。 基于此,我们可以通过二分的方法找到对于当前的NNN,它的的总位数与后面000的数量。 之后,我们思考如何找到第kkk个满足F(Q)=NF(Q)=NF(Q)=N的QQQ。 由于它的第一关键字是111的个数,我们可以通过组合数的枚举来计算出它包含的111的个数。
Ozone Security:基于证书的Block Access Token认证
走在前往架构师的路上
05-06 1348
文章目录前言Block Access Token的作用Block Acess Token的生成证书的生成Block Access Token流程图 前言 在HDFS中,我们有Block Access Token的机制来保证DataNode数据块访问的安全性控制。同样地,在Ozone中也有类似地一套安全机制。不过Ozone是基于X.509证书体系下的安全机制,所以在这点上和HDFS的内部实现还是有...
BlockToken原理剖析
hncscwc的博客
10-29 993
【简介】Hadoop安全需要解决两个问题:一个是认证,即解决用户身份合法性验证问题;另一个是授权,即解决认证用户的操作范围问题。对于认证,Hadoop设计了Security特性和Block...
Block Token 原理分析
weixin_30889885的博客
04-20 375
介绍 文件权限检查由NameNode执行,而不是DataNode执行。 默认情况下,任何客户端都可以访问只有其块ID的任何块。 为了解决这个问题,Hadoop引入了块访问令牌的概念。 块访问令牌由NameNode生成,并在DataNode端进行合法性验证。块访问令牌作为Hadoop数据传输协议的一部分或通过HTTP查询参数来呈现。一个典型的应用场景如下:一个客户端向NameNode发...
Hadoop - DataXceiverServer 与 DataXceiver
PeersLee的博客
11-24 680
版本:0.23.11 DataNode.initDataXceiver private void initDataXceiver(Configuration conf) throws IOException { InetSocketAddress socAddr = DataNode.getStreamingAddr(conf); // find free p
标记Token实例
10-30
在IT行业中,Token是一个非常关键的概念,特别是在身份验证、授权和数据安全领域。"标记Token实例"这个标题可能指的是一个关于如何创建、使用和管理Token的实际应用案例。在这个描述中,“Token实例”被重复提及,这...
Laravel开发-block
08-28
Laravel自带了`csrf_token`函数和`@csrf` Blade指令,它们在表单中生成安全的CSRF令牌,防止恶意操作。 总结来说,Laravel的中间件、身份验证、授权策略以及CSRF防护都是防止未授权访问的重要工具。理解并熟练运用...
eth-token-tracker:一个用于跟踪以太坊令牌余额变化的JS模块
05-01
安装yarn install '@metamask/eth-token-tracker' 用法const TokenTracker = require ( '@metamask/eth-token-tracker' )var tokenTracker = new TokenTracker ( { userAddress : addresses [ 0 ] , // whose ...
微信公众号使用隐藏页判断登录
01-08
 document.getElementById(“over”).style.display = “block”;  document.getElementById(“layout”).style.display = “block”;  //判断是否之前走过授权  // var token = window.localStorage.getItem(...
SueprxschoolWhitePaper:基于区块链技术的教育数字化系统 Digital Education System Based ON Block Chain Technology
05-14
一、TOKEN 激励分配 (一)发行总量 SXST 的发放的总数量为:100亿 SXST; (二)代币分配 (1)运营维护团队: 20 亿 SXST; 其中 20 亿 用来成立超级基金,完成后续优质项目的孵化; (2)超级基金团队 30 亿 SXST; ...
Hadoop DataNode启动之dataXceiverServer
海盗的小菜园
10-04 1634
DN的主要工作用来存取数据,与其产生块交互的主要有两种角色:客户端和其他DN,数据块的收发是比较繁重的工作,虽然DN不必面临高并发的场景,但如果是串行服务的话必然会降低效率,为此,DN在每次接到块操作请求时,都会产生一个线程用于服务,这里说的dataXceiverServer就类似一餐馆老板,每来一个客人,就派一个小伙计出来服务,一对一的。DataXceiver就是小伙计的角色。dataXceiv
hadoop中的token认证
hncscwc的博客
05-12 1405
周更快变成月更了,但还是要坚持,本文来聊聊hadoop中的token,涉及到的点如下图所示。【Hadoop为什么需要Tokenhadoop最初的实现中并没有认证机制,这意味着存储在hadoop中的数据很容易泄露。后来,基于kerberos认证的安全特性被加入到hadoop中,但是基于kerberos的认证在使用过程中,会存在以下问题:过程比较复杂,认证过程中还需要涉及到...
HDFS内部的认证机制
走在前往架构师的路上
06-05 1万+
前言 数据的安全性是一直被大家所重视的.对于一个存有大规模数据量的成熟企业来说,如何做到数据不丢失,不损坏,不窃取就显得格外重要了.而HDFS恰恰满足了”海量数据规模”的特点,所以如果我们用HDFS存储大量的非结构化的数据,我们如何保证其中数据的安全性呢?在之前的文章中,有提到过一个”Encryption Zone”数据加密空间的概念.Encryption Zone可以保证用户在指定的加密空
Hadoop源码分析——数据节点写数据1
lfdanding的专栏
06-22 6812
即使不考虑数据节点出错后的故障处理,文件写入也是HDFS中最复杂的流程。本章以创建一个新文件并向文件中写入数据,然后关闭文件为例,分析客户端写文件时系统各节点的配合,如下图所示。 客户端调用DistributedFileSystem的create()方法创建文件,上图的步骤1,这时,DistributedFileSystem创建DFSOutputStream,并由远程过程调用,让名字节点执行同名
在区块链世界中的token到底是什么?
热门推荐
HiBlock的博客
03-23 1万+
用最接地气的例子告诉你到底什么是token,什么是区块链中的token
HDFS block access token认证机制
走在前往架构师的路上
12-28 1915
文章目录前言Block access tokenHDFS block access token的原理 前言 在存储系统中,数据的安全性无疑是十分重要的。在我们常见的文件系统中,最常使用的方式是通过文件目录的权限来做数据访问的控制。在HDFS这样分布式存储系统中,其内部实现同样沿用了这样的方式来做数据访问的控制。但是在HDFS拥有如此海量数据规模的系统中,我们只做文件权限的检查是足够安全的吗?鉴于HDFS的架构设计,权限检查是发生在NameNode端的,这时倘若一个恶意用户绕过了文件权限检查,然后直接访问实
理解Token没那么复杂,别被大佬们忽悠晕了
weixin_33937778的博客
08-06 5800
区块链很火,Token很繁荣,甚至有些人开始高呼Token经济的时代已经到来了。Token经济真的来了吗?在我们看来,还言之过早。 时下现状是:很多专家在谈Token,但大多数内容都是形而上,太飘渺,让人晦涩难懂。只适合业内人士的口味,不适合吃瓜群众;很多大佬也在谈Token,但都是为了满足自己的私利;项目方总爱拿区块链和Token说事儿,无非是想多收割一些利益;很多人也投资了Token,但不明...
Token验证失败的解决方法
asdfgh0077的博客
10-03 4615
Token验证失败的解决方法
STM32 CPU烧录到中途报错,提示block verification error 原因及解决方法
qq_38472535的博客
08-18 2068
STM32 CPU烧录到中途报错,提示block verification error 原因及解决方法
@jwt.token_in_blocklist_loader 不会触发
最新发布
03-22
这个问题可能需要更多的上下文才能回答,但是我可以给出一些可能的解释。@jwt.token_in_blocklist_loader 是 Flask-JWT-Extended 扩展中的一个函数,用于检查 JWT token 是否在 blocklist 中。如果 tokenblocklist 中,则认为它已经失效,无法再次使用。这个函数只有在使用 JWT token 进行认证时才会触发,如果你没有使用 JWT token 进行认证,那么这个函数就不会被调用。如果你有更多的上下文信息,我可以给出更具体的答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值