Hadoop安全机制之令牌

最新推荐文章于 2022-09-05 19:06:03 发布
最新推荐文章于 2022-09-05 19:06:03 发布
阅读量194 收藏
点赞数
原文链接:http://www.cnblogs.com/qiuyuesu/p/6724405.html
版权

介绍

      Hadoop中的安全机制包括认证和授权。而Hadoop RPC中采用SASL(Simple Authentication and Security Layer,简单认证和安全层)进行安全认证,具体认证方法涉及Kerberos和DIGEST-MD5两种。

      在这种机制中,Kerberos用于在客户端和服务器端之间建立一条安全的网络连接,之后客户端可通过该连接从服务器端获取一个密钥。由于该密钥仅有客户端和服务器端知道,因此,接下来客户端可使用该共享密钥获取服务的认证。使用共享密钥进行安全认证(使用DIGEST-MD5协议)有多方面的好处:由于它只涉及认证双方而不必涉及第三方应用(比如Kerberos中的KDC),因此安全且高效;客户端也可以很方便地将该密钥授权给其他客户端,以让其他客户端安全访问该服务。我们将基于共享密钥生成的安全认证凭证称为令牌(Token)。在Hadoop中,所有令牌主要由identifier和password两部分组成,其中,identifier包含了该令牌中的基本信息,而password则是通过HMAC-SHA1作用在identifier和一个密钥上生成的,该密钥长度为20个字节并由Java的SecureRamdom类生成。Hadoop中共有三种令牌:委托令牌、块访问令牌和作业令牌。

委托令牌(Delegation Token)

      授权令牌主要用于NameNode为客户端进行认证。当客户端初始访问NameNode时,如果通过Kerberos认证,则NameNode会为它返回一个密钥,之后客户端只需借助该密钥便可进行NameNode认证。为了防止重启后密钥丢失,NameNode将各个客户端对应的密钥持久化保存到镜像文件中。默认情况下,所有密钥每隔24小时更新一次,且NameNode总会保存前7小时的密钥以保证之前的密钥可用。

      委托令牌是客户端和NameNode之间的共享密钥,可以使用DIGEST-MD5机制进行RPC验证。委托令牌的格式如下:

      令牌同时具有到期日期和最大发行日期。 令牌将在到期日期后到期,但即使过期到最大发布日期也可以更新。在对NameNode进行任何初始Kerberos身份验证后,客户端可以请求委托令牌。令牌还具有指定的令牌更新器。令牌更新程序在代表用户更新令牌时使用其Kerberos凭据进行身份验证。委托令牌最常见的用途是MapReduce作业,在这种情况下,客户端将JobTracker指定为更新程序。委托令牌由NameNode的URL键入,并存储在JobTracker的系统目录中,以便将它们传递给任务。下图是客户首次与Namenode之间的交互。

数据块访问令牌(Block Access Token)

      数据块访问令牌主要用于DataNode、SecondaryNameNode和Balancer为客户端存取数据块进行认证。当客户端向NameNode发送文件访问请求时,如果通过NameNode认证以及文件访问权限检查,则NameNode会将该文件对应的数据块位置信息和数据块访问密钥发送给客户端,客户端需凭借数据块访问密钥才可以读取一个DataNode上的数据块。NameNode会通过心跳将各个数据块访问密钥分发给DataNode、SecondaryNameNode和Balancer。需注意的是,数据块访问密钥并不会持久化保存到磁盘上,默认情况下,它们每隔10小时更新一次并通过心跳通知各个相关组件。

      块访问令牌的格式如下,其中keyID标识用于生成令牌的私钥,accessMode可以是READ,WRITE,COPY,REPLACE的任意组合。

      用户向Namenode申请访问文件的过程如下:

作业令牌(Job Token)

      作业令牌主要用于TaskTracker对任务进行认证。用户提交作业到JobTracker后,JobTracker会为该作业生成一个作业令牌,并写到该作业对应的HDFS系统目录下。当该作业的任务调度到各个TaskTracker上后,将从HDFS上获取作业令牌。该令牌可用于任务与TaskTracker之间进行相互认证(比如Shuffle阶段的安全认证)。与数据块访问令牌一样,作业令牌也不会持久化保存到内存中,一旦JobTracker重新启动,就会生成新的令牌。由于每个作业对应的令牌已经写入HDFS,所以之前的仍然可用。

基于令牌的认证机制的优势  

      相比于单纯使用Kerberos,基于令牌的安全认证机制有很多优势,具体如下。

❑性能:在Hadoop集群中,同一时刻可能有成千上万的任务正在运行。如果我们使用Kerberos进行服务认证,则所有任务均需要KDC中AS提供的TGT,这可能使得KDC成为一个性能瓶颈,而采用令牌机制则可避免该问题。

❑凭证更新:在Kerberos中,为了保证TGT或者服务票据的安全,通常为它们设置一个有效期,一旦它们到期,会对其进行更新。如果直接采用Kerberos验证,则需要将更新之后的TGT或者服务票据快速推送给各个Task,这必将带来实现上的烦琐。如果采用令牌,当令牌到期时,只需延长它的有效期而不必重新生成令牌。此外,Hadoop允许令牌在过期一段时间后仍可用,从而为过期令牌更新留下足够时间。

❑安全性:用户从Kerberos端获取TGT后,可凭借该TGT访问多个Hadoop服务,因此,泄露TGT造成的危害远比泄露令牌大。

❑灵活性:在Hadoop中,令牌与Kerberos之间没有任何依赖关系,Kerberos仅仅是进行用户身份验证的第一道防线,用户完全可以采用其他安全认证机制替换Kerberos。因此,基于令牌的安全机制具有更好的灵活性和扩展性。

转载于:https://www.cnblogs.com/qiuyuesu/p/6724405.html

weixin_30329623
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hadoop组件学习(二)——属性与安全
nan3205的博客
05-31 387
1、Hadoop的部分属性 2、Hadoop安全Hadoop的部分属性 1、委任和解除节点 Hadoop集群的管理员经常需要向集群中添加节点或从集群中移除节点。例如,为了扩大存储容量,需要委任节点;相反的,如果想要缩小集群规模或节点表现反常,例如故障率过高或者性能过低,则需要解除该节点。 委任新节点 include文件说明:允许连接到namenode的所有datanode放在一个文件中,文件名称有dfs.hosts属性指定。该文件放在namenode的本地文...
Hadoop安全机制探究
初心江湖路的博客
12-27 611
一、可能的安全问题 1、如果Hadoop服务不对用户或者服务进行认证,那么可能发生什么安全问题? HDFS文件权限检查被规避 攻击者可以伪装服务,对集群进行攻击 2、因为只需要BlockId即可读取节点的数据,而DataNode不强制对任何访问请求做访问控制。那么,任何人都可以随意的访问和读写HDFS数据,这样就存在安全隐患。 二、Apache Hadoop安全团队使用的安全机制 基于Kerbe...
10.4 hadoop安全性kerberos安全验证和委托令牌
baochunlei1的博客
03-01 1001
1.1 安全性 HDFS的文件许可模块可以组织程序漏洞而毁坏文件系统,也能阻止运行hadoop fs –rmr删除文件指令,但是无法组织恶意的用户假冒root身份来访问或者删除数据。需要使用Kerberos实现用户认证。 1.1.1 Kerberos和Hadoop (1)客户端请求认证的步骤 1) 认证。客户端向认证服务器获取含时间票据授权票据(T...
vs2017 shlobj.h 报错 unexpected token 'identifier' (意外令牌'标识符')
是我
08-05 6082
Error C2760 syntax error: unexpected token 'identifier', expected 'type specifier' c:\program files (x86)\microsoft sdks\windows\v7.1a\include\objbase.h 239 Warning C4091 'typedef '...
Hadoop安全机制
xinxiangsui2008的专栏
05-25 4362
Hadoop集群安全 Hadoop自带两种安全机制:Simple机制、Kerberos机制
Hadoop安全机制原理到当今主流安全机制
04-23
### 从Hadoop安全机制原理到当今主流安全机制 #### Hadoop Security Hadoop作为一种分布式计算框架,其安全机制的设计至关重要。为了确保集群中的数据安全和访问控制,Hadoop采用了多层面的安全措施。 ##### ...
Hadoop安全架构分析.pptx
10-14
《深入剖析Hadoop安全架构》 Hadoop,作为大数据处理的核心框架,其安全问题日益引起关注。当前,Hadoop安全架构面临着诸多挑战,包括认证授权的不足、数据保护的缺失以及网络访问控制的薄弱等。以下将对这些关键...
hadoop security design.pdf
11-01
### Hadoop安全设计知识点概述 #### 一、概述 ##### 1.1 安全风险 在当前Hadoop系统的设计中存在以下主要的安全风险: 1. **用户和服务身份验证缺失**:Hadoop服务未实现对用户和服务的身份验证,这导致了一系列...
Hadoop权威指南(中文版)2015上传.rar
10-12
2.2.1 数据模型的"旋风之旅" 2.2.2 实现 2.3 安装 2.3.1 测试驱动 2.4 客户机 2.4.1 Java 2.4.2 Avro,REST,以及Thrift 2.5 示例 2.5.1 模式 2.5.2 加载数据 2.5.3 Web查询 2.6 HBase和RDBMS的比较 2.6.1 成功的...
Hadoop安全认证
m0_52931616的博客
09-05 2830
hadoop安全认证
聊聊Hadoop安全认证体系:Delegation Token和Block Access Token
走在前往架构师的路上
11-29 3437
前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证)。主要来聊聊这两者间的差异,顺带也会提及一些Kerberos认证的一点内容。这里不深挖其中的技术细节,整体阐述会比较简单,明了。 Kerberos认证 Kerberos认证是业界较为成熟的一种认证体...
Hadoop授权令牌解释(原标题 Hadoop Delegation Tokens Explained)
hxiaowang的博客
06-09 5352
转载:https://blog.cloudera.com/hadoop-delegation-tokens-explained/ 很好的文章,但是要翻墙转载给国内的伙伴,有问题请联系删除 第一部分谷歌翻译版;下边有英语版 Apache Hadoop安全性是在2009年左右设计和实施的,此后一直保持稳定。但是,由于缺少有关此领域的文档,因此出现问题时很难理解或调试。设计了委托令牌,并将其作为身份验证方法在Hadoop生态系统中广泛使用。这篇博客文章介绍了Hadoop分布式文件系统(HDF...
Hadoop 安全机制原理到当今主流安全机制
走在前往架构师的路上
12-13 7390
Hadoop Common模块中除了之前我所分析过的4大主模块,还有一个也同样是非常重要的内容,就是Security---安全模块。不过,我只是简单的分析他的实现机制,并不会涉及代码的分析。同时,我会通过对于Hadoop中采取的安全机制方法延伸到当下主流的一些安全认证方法,比如LDAP,SSL,Oauth Token等等。、 1)Hadoop Security Hadoop的Security
Block Token 原理分析
weixin_30889885的博客
04-20 376
介绍 文件权限检查由NameNode执行,而不是DataNode执行。 默认情况下,任何客户端都可以访问只有其块ID的任何块。 为了解决这个问题,Hadoop引入了块访问令牌的概念。 块访问令牌由NameNode生成,并在DataNode端进行合法性验证。块访问令牌作为Hadoop数据传输协议的一部分或通过HTTP查询参数来呈现。一个典型的应用场景如下:一个客户端向NameNode发...
Hadoop】36-安全
通往神秘的道路的专栏
08-30 955
早期版本的Hadoop假定HDFS和MapReduce集群运行在安全环境中,由一组相互合作的用户所操作,因而访问控制措施的目标是防止偶然的数据丢失,而非阻止非授权的数据访问。例如,HDFS中的文件许可模块会阻止用户由于程序漏洞而毁坏整个文件系统,也会阻止运行不小心输人的hadoop fs -rmr /指令,但却无法阻止某个恶意用户假冒root身份来访问或删除集群中的某些数据。 从安全角度分析,Ha...
java 令牌_java生成临时令牌和访问令牌
weixin_35619710的博客
02-12 288
public String getTicket(String logo, String productId) {String aTicket = "";SimpleDateFormat sdf = new SimpleDateFormat("yyyyMMddHHmmss");SimpleDateFormat sdfs = new SimpleDateFormat("yyyyMMddHHmmssSS...
HDFS 原理小测
weixin_34192816的博客
06-08 91
零、目录 数据存储 缓存管理 快照管理 副本放置策略 内部认证 磁盘目录服务 WebHdfsFileSystem OAuth2认证机制 其他细节 一、 数据存储 1. 内存存储(3个主类) 【默认 LAZY_PERSIST 策略】 (1)RamDiskReplicationLurTracker 类 :负责维护多个关系的数据块信息 discardRe...
什么是hadoop安全机制
最新发布
03-28
Hadoop安全机制是指Hadoop平台提供的一系列安全措施和功能,用于保护Hadoop集群中的数据和资源的安全性,防止未经授权的访问和操作。其中包括以下几个方面: 1. 认证机制Hadoop支持多种认证方式,如Kerberos、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值