开源大数据平台如何才能保证身份认证安全?Kerberos

2024-04-06 18:48

本文主要是介绍开源大数据平台如何才能保证身份认证安全?Kerberos,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在古希腊神话中,Kerberos是住在冥河岸边的三头犬,负责看守冥界的入口。而在信息技术界,Kerberos是一种被广泛采用的网络认证协议,通过对称加密的技术保护网络系统的安全。特别是在Hadoop开源大数据平台,Kerberos是内置支持的安全的用户认证方式。它可以独立于各服务组件,保证只有通过身份认证的节点才可以访问对应的服务,进而维护开源大数据的系统安全。

作为开源大数据卫士的Kerberos,其安全性可靠性毋庸置疑,但是在运营维护和部署成本等方面,却会为规模较大的企业用户带来一笔不小的负担。通常,企业在接入Kerberos之前,已经在多个场景下配置了对应的身份认证系统。而Hadoop开源大数据平台所使用的Kerberos,并不能支持除Kerberos内置的用户名密码认证以外的其它认证机制,无法和企业已经部署的用户认证方式进行无缝对接。更让人烦恼的是,Java也没有一个完整的Kerberos库,很难对它进行更改。因此,要把已有的身份认证系统接入Kerberos的认证流程中,其开发难度和工作量都将会是非常庞大的。

开源大数据平台如何才能保证身份认证安全?

 

Kerberos 在现实中遇到的问题

Kerberos的这些问题,对腾讯AI Lab这样的企业级用户,造成了不小的困扰:腾讯AI Lab此前的大数据集群并没有启用身份认证,无法实现用户存储隔离,任意用户都可通过更改客户端的配置,伪造成超级用户访问所有内容。所以,必须把分散在不同服务上的认证方式都合并在一起,基于已有的大数据集群进行身份认证的二次开发。这要求开发者保证现有的服务不受影响,让用户可以沿用过去熟悉的认证方式,不能做太多的更改。同时,还不能用把所有用户账号信息都同步到新数据库的方式,因为这会增加大量的部署和运维成本。

为了帮助腾讯AI Lab应对这些挑战,在安全认证领域积累了丰富经验的英特尔大数据部门,基于英特尔®的数据中心平台,英特尔开发了可插拔的身份认证框架Hadoop Authentication Service (HAS)它可以与现有的认证和授权体系对接,无需在已有的用户账号系统和Kerberos数据库之间迁移和同步用户账号信息,也不影响现有服务的连续性。同时,这种架构不需要独立维护自己的身份信息,减少了中间环节,大大降低了企业身份信息管理的复杂性和风险。

开源大数据平台如何才能保证身份认证安全?

 

HAS系统架构示意图

与传统的Kerberos不同,HAS在功能上包括了一个Token Authority和一个Apache Kerby 提供的Kerby KDC。Token Authority将其他已有认证系统的信息转换成HAS Token,再使用HAS Token向Kerby KDC换取Kerberos Ticket。拿到Kerberos Ticket后,就可以通过标准的Kerberos协议流程访问Hadoop集群的服务。

基于这样的技术手段,用户可以继续使用原先的Kerberos认证机制,也可以继续使用以前熟悉的认证方式登录。所有分散的服务都统一在一套认证系统中,无需再分别重新设置。与此同时,因为避免了用户账户信息的拷贝和同步,HAS降低了运营维护的复杂度和成本,和信息泄露的风险。

HAS不仅可以作为在Hadoop集群上通用集成的用户认证解决方案,更可以定制成插件与企业特有认证系统结合。针对腾讯AI Lab的需求,英特尔还定制了MySQL插件。当用户选择使用MySQL插件认证方式后,只需要在自己的环境中配置好账号信息,客户端就会自动完成用户身份认证。此外,英特尔还实现了自动化部署工具,一键部署Keytab与SSL证书,极大简化了部署与优化工作。

HAS能够帮助各种不同的云计算、大数据相关的行业用户,更便捷地以低成本部署身份认证系统。对英特尔的工程师而言:技术是为了服务用户,而不是为了展现自己的技术能力。开发HAS的初衷,就是为了方便用户的使用,将复杂的问题变得简单。

HAS还在不断地完善中,借助Intel®SGX技术,英特尔未来会进一步提高HAS的安全性。在Intel的下一代Xeon SP处理器上,将有机会运用SGX技术来隔离处理和存储HAS认证过程中产生和使用的敏感数据,让身份认证更加安全。

这篇关于开源大数据平台如何才能保证身份认证安全?Kerberos的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/880567

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

流媒体平台/视频监控/安防视频汇聚EasyCVR播放暂停后视频画面黑屏是什么原因?

视频智能分析/视频监控/安防监控综合管理系统EasyCVR视频汇聚融合平台,是TSINGSEE青犀视频垂直深耕音视频流媒体技术、AI智能技术领域的杰出成果。该平台以其强大的视频处理、汇聚与融合能力,在构建全栈视频监控系统中展现出了独特的优势。视频监控管理系统EasyCVR平台内置了强大的视频解码、转码、压缩等技术,能够处理多种视频流格式,并以多种格式(RTMP、RTSP、HTTP-FLV、WebS

大模型研发全揭秘:客服工单数据标注的完整攻略

在人工智能(AI)领域,数据标注是模型训练过程中至关重要的一步。无论你是新手还是有经验的从业者,掌握数据标注的技术细节和常见问题的解决方案都能为你的AI项目增添不少价值。在电信运营商的客服系统中,工单数据是客户问题和解决方案的重要记录。通过对这些工单数据进行有效标注,不仅能够帮助提升客服自动化系统的智能化水平,还能优化客户服务流程,提高客户满意度。本文将详细介绍如何在电信运营商客服工单的背景下进行

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

关于数据埋点,你需要了解这些基本知识

产品汪每天都在和数据打交道,你知道数据来自哪里吗? 移动app端内的用户行为数据大多来自埋点,了解一些埋点知识,能和数据分析师、技术侃大山,参与到前期的数据采集,更重要是让最终的埋点数据能为我所用,否则可怜巴巴等上几个月是常有的事。   埋点类型 根据埋点方式,可以区分为: 手动埋点半自动埋点全自动埋点 秉承“任何事物都有两面性”的道理:自动程度高的,能解决通用统计,便于统一化管理,但个性化定

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

异构存储(冷热数据分离)

异构存储主要解决不同的数据,存储在不同类型的硬盘中,达到最佳性能的问题。 异构存储Shell操作 (1)查看当前有哪些存储策略可以用 [lytfly@hadoop102 hadoop-3.1.4]$ hdfs storagepolicies -listPolicies (2)为指定路径(数据存储目录)设置指定的存储策略 hdfs storagepolicies -setStoragePo

Hadoop集群数据均衡之磁盘间数据均衡

生产环境,由于硬盘空间不足,往往需要增加一块硬盘。刚加载的硬盘没有数据时,可以执行磁盘数据均衡命令。(Hadoop3.x新特性) plan后面带的节点的名字必须是已经存在的,并且是需要均衡的节点。 如果节点不存在,会报如下错误: 如果节点只有一个硬盘的话,不会创建均衡计划: (1)生成均衡计划 hdfs diskbalancer -plan hadoop102 (2)执行均衡计划 hd

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟 开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚 第一站:海量资源,应有尽有 走进“智听