HDFSRPC安全认证Token篇

已于 2024-04-09 09:42:04 修改
阅读量1.6k 收藏 44
点赞数 39
分类专栏: HDFS参数解析 文章标签: 安全 hdfs rpc
于 2024-03-22 07:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfpigpig/article/details/136710003
版权

本文主要阐述HDFSRPC安全认证相关的实现。主要介绍Token相关的实现。

写在前面

相关blog

https://blog.csdn.net/hncscwc/article/details/124722784

https://blog.csdn.net/hncscwc/article/details/124958357

Token由来

在探究完Kerberos,我一直在想一个问题,rpcConnection已经完成了验证,那为何还需要token?首先需要对yarn有一定的了解,我们知道mapreduce框架是把目标变成多个map,然后reduce出结果。Yarn在执行多个map、reduce的时候,是通过container来运行的。Container本质上是一个独立程序,执行了yarn分配的任务。当Container进程要去访问hdfs的时候,如果使用Kerberos,kdc验证服务存在的不可靠和性能问题(多机多container并发极高)必然会极大的限制大数据平台的稳定,尤其是当有大量用户请求需要通过kdc来获取tgt票据时。因此Token认证被引入充当kerberos的补充,在兼顾安全认证的同时,性能没有较大的损耗。在hadoop中,token主要包括DelegationToken,以及其他一些token,例如之前文件介绍过的BlockToken,以及yarn中一系列的token。

Token中yarn container流程图

1863_1.png

Token的应用

当完成kerberos验证以后,服务主体的可以通过getDelegationToken接口来获取token。当服务主体下面的的进程需要去访问hdfs的时候,可以通过token来访问。

Token的验证也在rpc的sasl中,但是步骤跟简单,如下:

1863_2.png

server当收到client negotiate请求以后,会返回多个auth。

auths {
  method: "TOKEN"
  mechanism: "DIGEST-MD5"
  protocol: ""
  serverId: "default"
  challenge: "realm=\"default\",nonce=\"svFDnzmhsk40oN5z6vnUFgYgawR17w+XvxiX1Z3M\",charset=utf-8,algorithm=md5-sess"
}
auths {
  method: "KERBEROS"
  mechanism: "GSSAPI"
  protocol: "root"
  serverId: "node17"
}

client接收完negotiate应答后,可以通过服务主体获取的token来initSaslClient,然后发送Initiate请求。Server接收到Initiate请求,会通过token初始化saslServer,不同于Kerberos,saslserver验证完token会立马complete。这时候server会直接返回success应答给客户端。客户端接收到success应答以后即完成SaslClient的初始化。

可以看出token验证的整个过程更简单,而且本质上就是server验证了一下client的token,消耗更少,性能更高。

token验证本身与用户密码生成没有任何关系,主要都是java原生类来实现。代码如下:

public class TokenTest {
  public static final String SASL_DEFAULT_REALM = "default";
  public static final String USERNAME = "tokentestuser";
  public static final char[] PASSWORD = new char[]{'1'};
  public static void main(String[] args) throws SaslException {
    String mechanism = "DIGEST-MD5";
    
    CallbackHandler serverCallback = new SaslDigestCallbackHandler();
    String protocol = "";
    String serverId = SASL_DEFAULT_REALM;
    SaslServer saslServer = FastSaslServerFactory.getInstance().createSaslServer(mechanism, protocol, serverId, null, serverCallback);
    
    String saslUser = null;
    Map<String, String> saslProperties = new HashMap<String, String>();
    saslProperties.put("javax.security.sasl.qop", "auth");
    saslProperties.put("javax.security.sasl.server.authentication", "true");
    CallbackHandler clientCallback = new SaslClientCallbackHandler();
    SaslClient saslClient = Sasl.createSaslClient(new String[]{mechanism}, saslUser, protocol, serverId, saslProperties, clientCallback);
    
    byte[] response = saslServer.evaluateResponse(new byte[0]);
    System.out.println("NEGOTIATE:" + new String(response));
    
    byte[] request = saslClient.evaluateChallenge(response);
    System.out.println("INITIATE:" + new String(request));
    
    byte[] response2 = saslServer.evaluateResponse(request);
    System.out.println("SUCCESS:" + new String(response2));
    
    System.out.println("server complete:" + saslServer.isComplete());
    saslClient.evaluateChallenge(response2);
    System.out.println("client complete:" + saslClient.isComplete());
    
  }
  
  public static class SaslDigestCallbackHandler implements CallbackHandler {
    @Override
    public void handle(Callback[] callbacks) throws UnsupportedCallbackException {
      NameCallback nc = null;
      PasswordCallback pc = null;
      AuthorizeCallback ac = null;
      for (Callback callback : callbacks) {
        if (callback instanceof AuthorizeCallback) {
          ac = (AuthorizeCallback) callback;
        } else if (callback instanceof NameCallback) {
          nc = (NameCallback) callback;
        } else if (callback instanceof PasswordCallback) {
          pc = (PasswordCallback) callback;
        } else if (callback instanceof RealmCallback) {
          continue; // realm is ignored
        } else {
          throw new UnsupportedCallbackException(callback,
              "Unrecognized SASL DIGEST-MD5 Callback");
        }
      }
      if (pc != null) {
        pc.setPassword(PASSWORD);
      }
      if (ac != null) {
        String authid = ac.getAuthenticationID();
        String authzid = ac.getAuthorizationID();
        if (authid.equals(authzid)) {
          ac.setAuthorized(true);
        } else {
          ac.setAuthorized(false);
        }
        if (ac.isAuthorized()) {
          ac.setAuthorizedID(authzid);
        }
      }
    }
  }
  
  private static class SaslClientCallbackHandler implements CallbackHandler {
    private final String userName;
    private final char[] userPassword;

    public SaslClientCallbackHandler() {
      this.userName = USERNAME;
      this.userPassword = PASSWORD;
    }

    @Override
    public void handle(Callback[] callbacks)
        throws UnsupportedCallbackException {
      NameCallback nc = null;
      PasswordCallback pc = null;
      RealmCallback rc = null;
      for (Callback callback : callbacks) {
        if (callback instanceof RealmChoiceCallback) {
          continue;
        } else if (callback instanceof NameCallback) {
          nc = (NameCallback) callback;
        } else if (callback instanceof PasswordCallback) {
          pc = (PasswordCallback) callback;
        } else if (callback instanceof RealmCallback) {
          rc = (RealmCallback) callback;
        } else {
          throw new UnsupportedCallbackException(callback,
              "Unrecognized SASL client callback");
        }
      }
      if (nc != null) {
        nc.setName(userName);
      }
      if (pc != null) {
        pc.setPassword(userPassword);
      }
      if (rc != null) {
        rc.setText(rc.getDefaultText());
      }
    }
  }
}

程序运行输出:

**NEGOTIATE:**realm=“default”,nonce=“alYJcFcQ1r8azJmG4E+9Vy4HJt7AfNyJIXhGCvcD”,charset=utf-8,algorithm=md5-sess

INITIATE:charset=utf-8,username=“tokentestuser”,realm=“default”,nonce=“alYJcFcQ1r8azJmG4E+9Vy4HJt7AfNyJIXhGCvcD”,nc=00000001,cnonce=“nA2o8sejSYExOtEt8ELnWJXob3KDHOIF2OlaxozQ”,digest-uri=“/default”,maxbuf=65536,response=e388c2b4a0f68f94607e01b033ef61b2,qop=auth

SUCCESS:rspauth=af3865533148b4f6539b785ce2958854

server complete:true

client complete:true

Client当收到server的negotiate response后,会通过某个算法生成response,然后发送initiate request。Server会通过同样的算法来生成自己的验证值来比较response,成功以后会同样的算法生成rspauth。Client收到rspauth以后,会用同样的算法来成自己的验证值来比较rspauth。

Token验证算法

protected byte[] generateResponseValue(
        String authMethod,
        String digestUriValue,
        String qopValue,
        String usernameValue,
        String realmValue,
        char[] passwdValue,
        byte[] nonceValue,
        byte[] cNonceValue,
        int nonceCount,
        byte[] authzidValue
        ) throws NoSuchAlgorithmException,
            UnsupportedEncodingException,
            IOException {

        MessageDigest md5 = MessageDigest.getInstance("MD5");
        byte[] hexA1, hexA2;
        ByteArrayOutputStream A2, beginA1, A1, KD;

        // A2
        // --
        // A2 = { "AUTHENTICATE:", digest-uri-value,
        // [:00000000000000000000000000000000] }  // if auth-int or auth-conf
        //
        A2 = new ByteArrayOutputStream();
        A2.write((authMethod + ":" + digestUriValue).getBytes(encoding));
        if (qopValue.equals("auth-conf") ||
            qopValue.equals("auth-int")) {

            logger.log(Level.FINE, "DIGEST04:QOP: {0}", qopValue);

            A2.write(SECURITY_LAYER_MARKER.getBytes(encoding));
        }

        if (logger.isLoggable(Level.FINE)) {
            logger.log(Level.FINE, "DIGEST05:A2: {0}", A2.toString());
        }

        md5.update(A2.toByteArray());
        byte[] digest = md5.digest();
        hexA2 = binaryToHex(digest);

        if (logger.isLoggable(Level.FINE)) {
            logger.log(Level.FINE, "DIGEST06:HEX(H(A2)): {0}", new String(hexA2));
        }

        // A1
        // --
        // H(user-name : realm-value : passwd)
        //
        beginA1 = new ByteArrayOutputStream();
        beginA1.write(stringToByte_8859_1(usernameValue));
        beginA1.write(':');
        // if no realm, realm will be an empty string
        beginA1.write(stringToByte_8859_1(realmValue));
        beginA1.write(':');
        beginA1.write(stringToByte_8859_1(new String(passwdValue)));

        md5.update(beginA1.toByteArray());
        digest = md5.digest();

        if (logger.isLoggable(Level.FINE)) {
            logger.log(Level.FINE, "DIGEST07:H({0}) = {1}",
                new Object[]{beginA1.toString(), new String(binaryToHex(digest))});
        }

        // A1
        // --
        // A1 = { H ( {user-name : realm-value : passwd } ),
        // : nonce-value, : cnonce-value : authzid-value
        //
        A1 = new ByteArrayOutputStream();
        A1.write(digest);
        A1.write(':');
        A1.write(nonceValue);
        A1.write(':');
        A1.write(cNonceValue);

        if (authzidValue != null) {
            A1.write(':');
            A1.write(authzidValue);
        }
        md5.update(A1.toByteArray());
        digest = md5.digest();
        H_A1 = digest; // Record H(A1). Use for integrity & privacy.
        hexA1 = binaryToHex(digest);

        if (logger.isLoggable(Level.FINE)) {
            logger.log(Level.FINE, "DIGEST08:H(A1) = {0}", new String(hexA1));
        }

        //
        // H(k, : , s);
        //
        KD = new ByteArrayOutputStream();
        KD.write(hexA1);
        KD.write(':');
        KD.write(nonceValue);
        KD.write(':');
        KD.write(nonceCountToHex(nonceCount).getBytes(encoding));
        KD.write(':');
        KD.write(cNonceValue);
        KD.write(':');
        KD.write(qopValue.getBytes(encoding));
        KD.write(':');
        KD.write(hexA2);

        if (logger.isLoggable(Level.FINE)) {
            logger.log(Level.FINE, "DIGEST09:KD: {0}", KD.toString());
        }

        md5.update(KD.toByteArray());
        digest = md5.digest();

        byte[] answer = binaryToHex(digest);

        if (logger.isLoggable(Level.FINE)) {
            logger.log(Level.FINE, "DIGEST10:response-value: {0}",
                new String(answer));
        }
        return (answer);
    }

本质上是把用户名密码和一些参数,放入MD5.update之中,最终生成一个MD5值。

值得注意的是生成response和rspauth时只有第一个参数authMethod不一样,一个为

AUTHENTICATE,一个为空字符串。

 digestResp.write(generateResponseValue("AUTHENTICATE",
                digestUri, negotiatedQop, username,
                negotiatedRealm, passwd, nonce, cnonce,
                nonceCount, authzidBytes));
                
 byte[] expected = generateResponseValue("",
                digestUri, negotiatedQop, username, negotiatedRealm,
                passwd, nonce, cnonce,  nonceCount, authzidBytes);

Token的统一管理

Hadoop中Delegation Tokens的生成和验证主要依赖于HMAC机制。但是实际的实现可以自定义。主要原因是由于生成和验证都是在server端实现。Token相关的rpc接口如下:

Token<DelegationTokenIdentifier> getDelegationToken(Text renewer) throws IOException;
long renewDelegationToken(Token<DelegationTokenIdentifier> token) throws IOException;
void cancelDelegationToken(Token<DelegationTokenIdentifier> token) throws IOException;

一般的密码生成实现是生成用户名密码,存入数据库,然后通过查表验证。Token的实现略有不同,由于是HMAC来生成密码,所以密码是实时生成的,但是要保存HMAC的key,类似于AES256算法的key,key也不是固定的,是会变化的,所以要记录key。所以Token的持久化主要是持久化key和Token,也是通过proto格式来存,在fsimage.proto中。

message SecretManagerSection {
  message DelegationKey {
    optional uint32 id         = 1;
    optional uint64 expiryDate = 2;
    optional bytes  key        = 3;
  }
  message PersistToken {
    optional uint32 version        = 1;
    optional string owner          = 2;
    optional string renewer        = 3;
    optional string realUser       = 4;
    optional uint64 issueDate      = 5;
    optional uint64 maxDate        = 6;
    optional uint32 sequenceNumber = 7;
    optional uint32 masterKeyId    = 8;
    optional uint64 expiryDate     = 9;
  }
  optional uint32 currentId = 1;
  optional uint32 tokenSequenceNumber = 2;
  optional uint32 numKeys = 3;
  optional uint32 numTokens = 4;
  // repeated DelegationKey keys
  // repeated PersistToken tokens
}
zfpigpig
关注
  • 39
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Token认证签名加密
09-10
这个是写与第三方接口对接的事例代码,上面写的比较通俗易懂,很容易理解,有注解,没做过第三方接口对接的小朋友照抄就行,
vue 权限认证token的实现方法
10-18
主要介绍了vue 权限认证token的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Laravel实现ApiToken认证请求
10-16
今天小编就为大家分享一Laravel实现ApiToken认证请求,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Java实现基于token认证的方法示例
08-25
主要介绍了Java实现基于token认证的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Token认证技术
08-28
c#在WebAPI中使用Token认证的方式登录,增强保密。
springboot 加入token安全认证 手把手教程
qq_42017966的博客
08-26 4007
springboot 加入token安全认证 手把手教程
如何保证token安全
zhiyikeji的博客
02-28 9015
在讲解token之前,我们先了解一下认证和授权之间的联系和区别 什么是认证? 通俗地讲就是验证当前用户的身份,证明 “你是你自己”,如: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱 / 验证码,就默认你是账号的主人 什么是授权(Authorization)? 用户授予第三方应用访问该用户某些资源的权限 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限) 你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人
JWT——Token认证的两种实现和安全详解
热门推荐
二缺和傻宝宝的博客
06-26 8万+
前言: 最近因为项目中需要解决跨域取值的问题,所有考虑到用Token认证做技术支撑点,自己看了许多与之相关的文章,从中总结出了以下两个要点(签名和token时间)。在说这两个要点之前先大概简单说一下与之有关的一些问题。 首先,如果你对token认证的知识一点都不了解,那么我觉得这文章还不太适合你,因为我在这里不会在把相关的基础知识再说明一遍,因为网上有很多相关的文章,讲的都比较好,我会在文章
cookie和token安全上的区别
yiyueqinghui的博客
01-01 2711
token为什么就比cookie安全 cookie是什么: 登陆后,后端生成一个sessionid放在cookie中返回给客户端,并且服务端一直记录着这个sessionid,客户端以后每次请求都会自动带上这个sessionid,服务端通过这个sessionid来验证身份之类的操作。所以别人拿到了cookie等于拿到了sessionid,就可以完全替代你。 token是什么: 登陆后,后端会返回一个token给客户端,客户端将这个token存储起来,然后每次客户端请求都需要开发者手动将token放在h
Token登录认证
.
08-15 5480
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。而且只要token设计的足够复杂,除非用户泄露,否则几乎没有被破解的可能,加上token是有时效的,在有限的时间加上有限的算力,更是无懈可击,这也类似于加密资产比如比特币钱包对应的私钥,安全性极高。另外Token可以有效减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
海康威视OpenAPI安全认证库(python3)
09-05
海康威视OpenAPI安全认证库(python3),海康威视只提供C#和JAVA接口代码,此接口代码为python3接口方便各位同学方便对接开发。我编写的,我公司现有项目采用的代码,奉献给大家。
全新桥隧坡安全监测解决方案,24h监测效率提升30%
Hi_Target的博客
04-30 487
4月26日,交通运输部党组书记、部长李小鹏在部务会上强调,要高度重视公路桥梁隧道结构监测工作,抓紧推进公路桥梁隧道结构监测系统建设,进一步健全完善公路桥梁隧道结构监测长效运行机制。基于北斗高精度定位技术,采用高精度传感器,融合物联网、人工智能以及三维数字化仿真等技术,实时获取运营数据,掌握桥隧坡的运行状况,可有效减少维护成本,保障运营安全。具备振弦、电压、电流、差阻、RS485、RS232、开关量、继电器、RJ45接口。在全国各省份设有26家分公司,具备专业、高效的演示、演练、支撑、交付等本地化服务能力。
等保测评常见安全风险
weixin_64392888的博客
04-28 491
9. **网络分段风险**:二级及以上系统应将重要网络区域和非重要网络区域划分在不同网段或子网,避免生产网络和办公网络混在一起带来的风险。1. **信息泄露风险**:评估系统中存储、传输和处理的敏感信息的安全性,防止数据被非法获取,避免个人隐私泄露或公司机密泄露等问题。13. **个人信息保护风险**:二级及以上系统在未授权的情况下不应采集、存储用户个人隐私信息,避免违规行为带来的风险。5. **不安全的通信风险**:评估传输数据时的加密和解密机制,确保数据在传输过程中的安全,防止数据被窃听或篡改。
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 550
Linux服务器安全基础 - 查看入侵痕迹
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
最新发布
南七小僧的学海无涯
04-30 499
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
Go语言的map并发读写如何保证安全
技术笔记
04-28 875
为了保证Go语言中map的并发安全,我们可以使用互斥锁(如sync.Mutex或)来保护对map的访问,或者使用并发安全的map实现(如sync.Map选择哪种方式取决于具体的应用场景和需求。在大多数情况下,使用互斥锁是一个灵活且可靠的选择,而sync.Map则适用于特定的读多写少场景。推荐阅读Golang实战项目分享Golang专栏Go语言异常处理方式。
多家企业机密数据遭Lockbit3.0窃取,亚信安全发布《勒索家族和勒索事件监控报告》
亚信安全官方账号的博客
04-26 952
亚信安全发布2024年第14期《勒索家族和勒索事件监控报告》,本周全球共监测到勒索事件87起,与上周相比勒索事件大幅下降。
Windows操作系统安全精讲视频课程
2301_79581760的博客
04-26 377
1.1IT运维职位需要学习的技能.mp4 1-2利用缓存的网络凭据入侵服务器.mp4 1-3信息安全包括哪些方面.mp4 1-4管理本地用户账户和组.mp4 1-5创建检查删除计算机上隐藏的账户.mp4 1-6用户账户控制(UAC)详解.mp4 1-7使用windowsPE新设置管理员密码.mp4 1-8使用LC5找回Windows账户密码.mp4
网络安全知识点
lv785的博客
04-26 884
概念:IPSec 是“IP 安全”的缩写,是IETF在开发 IPv6时为保证IP数据报安全而设计的,是IPv6的一个组成 部分、是IPv4的可选项,其基本目的就是把安全机制引入 IP协议。欺骗:指利用主机之间的正常信任关系,通过修改IP数据包中的源地址,以绕开主机或网络访问控制、隐藏攻击来源的攻击技术。概念:入侵检测就是对入侵行为的 检测与发现,即在计算机网络系统中的若干关键点搜集信息,通过对所收集信息的分析发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。简要分析RSA算法的安全性得以保障的原因。
java发送get请求并设置认证token
06-13
可以使用 Java 中的 HttpURLConnection 类来发送 GET 请求并设置认证 Token。 以下是一个简单的示例: ``` import java.net.HttpURLConnection; import java.net.URL; import java.io.BufferedReader; import java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zfpigpig

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值