万创娱乐新闻

万创娱乐新闻

联系我们

万创娱乐登录 - 万创[2.1.1.0]
地址:山东省滕州市碧水云天中央城
电话:4000-000-000
传真:0632-5871662
手机:15020217966
邮箱:379144319@qq.com
QQ:379144319

开源大数据平台如何确保身份认证安全?

来源:http://www.songyunqing.com/作者:佚名 日期:2019-03-17 08:53 浏览:

  在古希腊神话中,Kerberos是一种三头狗,生活在冥河岸边,负责守卫冥界的入口。。 在信息技术领域,Kerberos是一种广泛使用的网络认证协议,它通过对称加密技术保护网络系统的安全。 尤其是在Hadoop开源大数据平台中,Kerberos是唯一内置的安全用户身份验证支持。 它可以独立于每个服务组件,确保只有通过身份认证的节点才能访问相应的服务,从而维护开源大数据的系统安全性。

   Kerberos作为开源大数据的捍卫者,对其安全性和可靠性毫无疑问,但它会给大型企业用户带来运营、维护和部署成本方面的巨大负担 通常,在访问Kerberos之前,企业已经在多个场景中配置了相应的身份验证系统。然而,Hadoop开源大数据平台使用的Kerberos不能支持除Kerberos内置用户名和密码身份验证之外的其他身份验证机制,也不能与企业已经部署的用户身份验证方法无缝对接。更令人不安的是,Java没有完整的Kerberos库,很难改变它。因此,要将现有身份认证系统连接到Kerberos认证过程,其开发难度和工作量将非常大。

   Kerberos的现实问题

   这些Kerberos问题给像腾讯AI实验室这样的企业用户带来了很多麻烦:腾讯AI实验室以前的大数据集群没有启用身份认证,也无法实现用户存储隔离。任何用户都可以改变客户端的配置,伪造超级用户来访问所有内容。因此,有必要结合分散在不同服务上的认证方法,在现有大数据集群的基础上进行身份认证的二次开发。这要求开发人员确保现有服务不受影响,这样用户就可以继续使用过去熟悉的身份验证方法,并且不会做出太多更改。同时,不可能将所有用户帐户信息同步到新数据库,因为这会增加大量部署和运营成本。

   为了帮助腾讯的人工智能实验室应对这些挑战,英特尔的大数据部门基于英特尔,在安全认证方面积累了丰富的经验? 英特尔开发了可插拔认证框架Hadoop认证服务( has )。它可以与现有身份验证和授权系统接口,不需要在现有用户帐户系统和Kerberos数据库之间迁移和同步用户帐户信息,也不影响现有服务的连续性。同时,该体系结构不需要独立维护自己的身份信息,这减少了中间环节,大大降低了企业身份信息管理的复杂性和风险。

   HAS系统架构示意图

   与传统Kerberos不同,HAS包括由Apache Kerby提供的令牌机构和Kerby KDC。令牌机构将其他现有身份验证系统的信息转换为HAS令牌,然后使用HAS令牌与Kerby KDC交换Kerberos票证。获得Kerberos票证后,您可以通过标准Kerberos协议流程访问Hadoop集群的服务。

   基于这种技术手段,用户可以继续使用原始Kerberos身份验证机制,或者使用以前熟悉的身份验证方法登录。所有分散的服务都统一在一组认证系统中,不需要单独重置。同时,HAS降低了操作和维护的复杂性和成本,降低了信息泄露的风险,因为它避免了复制和同步用户账户信息。

   HAS不仅可以用作Hadoop集群上的通用集成用户身份验证解决方案,还可以定制为将插件与特定于企业的身份验证系统相结合。为了响应腾讯的人工智能实验室要求,英特尔还定制了MySQL插件。万创娱乐当用户选择使用MySQL插件身份验证方法时,只需要在自己的环境中配置账户信息,客户端就会自动完成用户身份验证。此外,英特尔还实施了一种自动化部署工具,只需点击一下即可部署Keytab和SSL证书,大大简化了部署和优化。

   HAS可以帮助各种云计算和大数据相关行业的用户。读者被要求验证真实性和可能的风险,任何后果将由读者自己承担。。。

   ? 。。

。。。

。。。。

0
首页
电话
短信
联系