CN107257334B - 用于Hadoop集群的身份认证方法 - Google Patents
用于Hadoop集群的身份认证方法 Download PDFInfo
- Publication number
- CN107257334B CN107257334B CN201710428877.4A CN201710428877A CN107257334B CN 107257334 B CN107257334 B CN 107257334B CN 201710428877 A CN201710428877 A CN 201710428877A CN 107257334 B CN107257334 B CN 107257334B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- server
- bill
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000013475 authorization Methods 0.000 claims abstract description 61
- 230000004044 response Effects 0.000 claims description 29
- 238000004891 communication Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于Hadoop集群的身份认证方法,其包括下列步骤:步骤一,客户端向认证服务器发送请求,请求获得票据许可票据,先以明文方式向认证服务器发出请求,请求报文包括用户名称、授权服务器名称、有效生存期限、第一随机数和用户所在的Kerberos领域用户信息;步骤二,认证服务器收到客户端的请求报文后,先根据用户名称在本地数据库中查找用户的密钥,如果查找成功,则认证继续。本发明由于采用了基于PKI的认证模式后,无需在KDC上保存用户的口令,减少了系统的风险点,这样大大提高了Hadoop集群身份认证的安全性。
Description
技术领域
本发明涉及一种身份认证方法,特别是涉及一种用于Hadoop集群的身份认证方法。
背景技术
早期,Hadoop(Hadoop是一个由Apache基金会所开发的分布式系统基础架构)集群的初始用途是管理大量的公共Web数据,因此数据安全性和隐私并不是最初设计的考虑因素。设计时总是假定Hadoop集群将会由相互协作的、可信的机器组成,并由在可信环境中的可信用户使用。因此Hadoop不认证用户或服务,没有数据隐私,任何人都可以提交执行代码。
后来随着Hadoop成为一个更加流行的大数据分析平台,Hadoop开发社区意识到有必要为Hadoop增添更加健壮的安全控制。开发人员选择了Kerberos作为Hadoop集群的基础身份认证机制。虽然Kerberos认证具有实现简单、可靠性好、性能优越等诸多优点,但是安全性上也具有以下两个较明显的弱点:
一、系统的安全性完全基于用户口令和对称加密算法,用户口令需要存储在身份认证服务器的数据库中,管理员等高权限用户可以查看任何用户的口令。
二、由于系统安全性很大程度上取决于用户口令的复杂度,因此不可避免的容易遭受弱口令攻击。
发明内容
本发明所要解决的技术问题是提供一种用于Hadoop集群的身份认证方法,其能够大大降低系统遭受弱口令攻击的风险。
本发明是通过下述技术方案来解决上述技术问题的:一种用于Hadoop集群的身份认证方法,其特征在于,其包括如下步骤:
步骤一,客户端向认证服务器发送请求,请求获得票据许可票据:先以明文方式向认证服务器发出请求;请求报文包括用户名称、授权服务器名称、有效生存期限、第一随机数和用户所在的Kerberos领域用户信息;
步骤二,认证服务器收到客户端的请求报文后,先根据用户名称在本地数据库中查找用户密钥,如果查找成功,则认证继续;
步骤三,认证服务器生成会话密钥,该会话密钥用于客户端和授权服务器之间的加密通信;
步骤四,认证服务器产生用户请求的授权服务器的票据许可票据,该票据包括用户名称、授权服务器名称、用户IP、随机数、有效生存期限以及会话密钥,并用授权服务器的密钥进行加密,以保证只有授权服务器才能解密;
步骤五,认证服务器发送应答报文,该报文包括票据许可票据和用户密钥加密的信息;
步骤六,当客户端收到认证服务器返回的应答报文后,使用用户密钥进行解密,得到会话密钥,客户端向授权服务器发送访问Hadoop应用服务器的请求报文,请求获得服务许可票据:
报文内容包括要访问的Hadoop应用服务器的名称、有效生存期限、第二随机数、票据许可票据、第一认证符,第一认证符用会话密钥进行加密,包括用户名称、用户所在的Kerberos领域以及时间戳;
步骤七,授权服务器收到客户端发来的请求报文后,用自己的授权服务器的密钥对票据许可票据进行解密处理,该票据的含义为“使用会话密钥的客户是C”,授权服务器用从票据许可票据中取出的会话密钥解密第一认证符,并将第一认证符中的数据与票据许可票据中的数据进行比较,从而可以相信票据许可票据的发送者用户就是票据许可票据的实际持有者;
步骤八,授权服务器验证用户的合法身份之后,生成随机会话密钥,该随机会话密钥用于客户端和Hadoop应用服务器之间的加密通信;
步骤九,授权服务器产生用于访问Hadoop应用服务器的服务许可票据,服务许可票据包括用户名称、Hadoop应用服务器名称、用户IP、有效生存期限和随机会话密钥,并用Hadoop应用服务器的密钥来加密,以保证只有Hadoop应用服务器才能解得开;
步骤十,授权服务器发送应答报文,该应答报文包括服务许可票据和会话密钥加密的信息;
步骤十一,当客户端收到授权服务器的应答报文后,用会话密钥解密得到会话密钥;
步骤十二,客户端向Hadoop应用服务器发送请求报文,该请求报文的内容包括Hadoop应用服务器名称、用于访问Hadoop应用服务器的服务许可票据以及用随机会话密钥加密的第二认证符;
步骤十三,Hadoop应用服务器收到客户端发来的请求报文后,用自己的密钥对服务许可票据进行解密,得到随机会话密钥来解密第二认证符,并将解密后的第二认证符中的数据与服务许可票据中的数据进行比较,用户的身份得到验证;
步骤十四,Hadoop应用服务器向客户端发送应答报文,包括用随机会话密钥加密的用户名称用户信息;
步骤十五,当客户端收到信息后,解密信息并确认Hadoop应用服务器的身份后,认证结束。
优选地,所述步骤一的客户端向认证服务器发送票据许可票据申请请求时,在一个AS_REQ消息中增加一下SKprv-c字段,该字段是客户端使用自己的私钥采用非对称签名算法对消息内容的签名;认证服务器收到客户端的请求报文后,先根据用户名称在本地数据库中查找用户的公钥,并对消息内容进行验签运算,如果验签通过,则认证继续;认证服务器生成会话密钥,该会话密钥用于客户端和授权服务器之间的加密通信;认证服务器产生用户请求的授权服务器的票据许可票据,该票据包括用户名称、授权服务器名称、用户IP、随机数、有效生存期限以及会话密钥用户,并用授权服务器的密钥进行加密生成Tickettgs,以保证Tickettgs只有授权服务器才能解密;用用户的公钥加密另外一份包含会话秘钥的信息EKpub-c;认证服务器再对整个消息用自己的私钥签名生成SKprv-AS,并返回应答报文,该应答报文被用户接收到后,用户先用预先保存的认证服务器公钥验证签名,验签通过后,再用自己的私钥解密得到会话秘钥后续流程需要用到的信息。
优选地,所述步骤一至步骤五是关于认证服务器向用户发放票据许可票据,步骤六至步骤十是关于授权服务器向用户发放服务许可票据,所述步骤十一至步骤十五是关于用户向应用服务器获取服务。
优选地,所述用于Hadoop集群的身份认证方法通过称为密钥分发中心的第三方服务来验证集群中实体的相互身份,并建立密钥以保证实体间的安全连接。
本发明的积极进步效果在于:
一,本发明由于采用了基于PKI的认证模式后,无需在KDC上保存用户的口令,减少了系统的风险点,这样大大提高了Hadoop集群身份认证的安全性。
二,由于本发明改造的是Hadoop集群身份认证中执行频率非常低的AS_REQ和AS_REQ流程,因此对系统的性能几乎没有什么影响。
三,系统认证采用双因子模式后,可以大大降低弱口令攻击的风险,对Hadoop集群的安全性也是一个比较明显的提升。
附图说明
图1为本发明的标准认证流程示意图。
图2为本发明基于PKI的认证流程部分示意图。
具体实施方式
下面结合附图给出本发明较佳实施例,以详细说明本发明的技术方案。
本发明通过称为KDC(Key Distribution Center,密钥分发中心)的第三方服务来验证集群中实体的相互身份,并建立密钥以保证实体间的安全连接。KDC由认证服务器AS和授权服务器TGS两部分组成。Kerberos(Kerberos是古希腊神话中守卫地狱入口狗,长着三个头。MIT麻省理工学院之所以将其认证协议命名为Kerberos,是因为他们计划通过认证、授权和审计三个方面来建立完善的安全机制)认证系统总共包括三个相关方:认证服务器AS,用于在登录时验证用户的身份并发放票据许可票据TGT;授权服务器TGS,用于发放服务许可票据TS;Hadoop应用服务器V,客户端请求工作的实际执行者。在执行具体的认证流程前,系统需要做必要的初始化。客户端首先需要在KDC做开户操作,将自己的口令及基础信息保存到KDC的数据库中,之后才能完成后续的认证。
如图1所示,本发明用于Hadoop集群的身份认证方法包括如下步骤:
步骤一,客户端向认证服务器发送请求,请求获得票据许可票据TGT:
C→AS:AS_REQ={IDc,IDtgs,Times,Nounce1,Realmc,Options}
AS→C:AS_REP={Realmc,IDc,Tickettgs,EKc(Kc,tgs,Times,Nounce1,Realmtgs,IDtgs)}Tickettgs=EKtgs(
Realmc,IDc,IDtgs,IPc,Times,Kc,tgs,Flags)
先以明文方式向认证服务器发出请求,请求报文包括用户名称、授权服务器名称、有效生存期限、第一随机数和用户所在的Kerberos领域等信息;
步骤二,认证服务器收到客户端的请求报文后,先根据用户名称在本地数据库中查找用户密钥Kc,如果查找成功,则认证继续;
步骤三,认证服务器生成会话密钥Kc,tgs,该会话密钥用于客户端和授权服务器之间的加密通信;
步骤四,认证服务器产生用户请求的授权服务器的票据许可票据TGT,该票据包括用户名称、授权服务器名称、用户IP、随机数、有效生存期限以及会话密钥Kc,tgs等,并用授权服务器的密钥Ktgs进行加密,以保证只有授权服务器才能解密;
步骤五,认证服务器发送应答报文,该报文包括票据许可票据TGT和用户密钥Kc加密的信息;
步骤六,当客户端收到认证服务器返回的应答报文后,使用用户密钥Kc进行解密,得到会话密钥Kc,tgs,客户端向授权服务器发送访问Hadoop应用服务器的请求报文,请求获得服务许可票据TS:
C→TGS:TGS_REQ={IDv,Times,Nounce2,Tickettgs,Authenticator1,Options}
Authenticator1=EKc,tgs(IDc,Realmc,TS1)
TGS→C:TGS_REP=Realmc,IDc,Ticketv,EKc,tgs(Kc,v,Times,Nounce2,Realmv,IDv)}
Ticketv=EKv(IDc,IDv,IPc,Times,Kc,v,Realmc,Flags)
报文内容包括要访问的Hadoop应用服务器的名称、有效生存期限、第二随机数、TGT、第一认证符等,第一认证符用会话密钥Kc,tgs进行加密,包括用户名称、用户所在的Kerberos领域以及时间戳;
步骤七,授权服务器收到客户端发来的请求报文后,用自己的密钥Ktgs对票据TGT进行解密处理,该票据的含义为“使用会话秘钥Kc,tgs的客户是C”,授权服务器用从票据许可票据TGT中取出的会话密钥Kc,tgs解密第一认证符,并将第一认证符中的数据与票据许可票据TGT中的数据进行比较,从而可以相票据许可票据信TGT的发送者用户就是票据许可票据TGT的实际持有者;
步骤八,授权服务器验证用户的合法身份之后,生成随机会话密钥Kc,v,该密钥用于客户端和Hadoop应用服务器之间的加密通信;
步骤九,授权服务器产生用于访问Hadoop应用服务器的服务许可票据TS,服务许可票据TS包括用户名称、Hadoop应用服务器名称、用户IP、有效生存期限和随机会话密钥Kc,v等,并用Hadoop应用服务器的密钥Kv来加密,以保证只有Hadoop应用服务器才能解得开;
步骤十,授权服务器发送应答报文,该报文包括服务许可票据TS和会话密钥Kc,tgs加密的信息;
步骤十一,当客户端收到授权服务器的应答报文TGS_REP后,用会话密钥Kc,tgs解密得到随机会话密钥Kc,v;
步骤十二,客户端向Hadoop应用服务器发送请求报文AP_REQ:
C→V:AP_REQ={Options,Ticketv,Authenticator2}Authenticator2=EKc,v(IDc,Realmc,TS2,Subkey,Seq#)
V→C:AP_REP={EKc,v(IDc),Realmc,TS2,Subkey,Seq#}
报文内容包括Hadoop应用服务器名称、用于访问Hadoop应用服务器的服务许可票据TS以及用随机会话密钥Kc,v加密的第二认证符;
步骤十三,Hadoop应用服务器收到客户端发来的请求报文TGS_REP后,用自己的密钥对服务许可票据TS进行解密,得到随机会话密钥Kc,v来解密第二认证符,并将解密后的第二认证符中的数据与票据TS中的数据进行比较,用户的身份得到验证;
步骤十四,Hadoop应用服务器向客户端发送应答报文,包括用随机会话密钥Kc,v加密的用户名称等信息;
步骤十五,当客户端收到信息后,解密信息并确认Hadoop应用服务器的身份后,认证结束。
为了实现无需在KDC上存储用户口令,保证用户口令除了用户自己外,没有任何人能够知晓,本发明主要针对上述标准认证流程中的步骤一至步骤五(AS_REQ和AS_REP)进行改进,改进的措施主要是采用PKI(Public Key Infrastructure)即公开密钥体系来替换原来基于对称算法和用户口令的认证体系。其认证消息格式和流程如下:所述步骤一的客户端向认证服务器发送TGT申请请求时,在AS_REQ(AS为认证服务Authentication Service,REQ为request请求,REP为reponse,AS_REQ就是认证请求)消息中增加一下SKprv-c字段,该字段是客户端使用自己的私钥采用非对称签名算法对消息内容{IDc,IDtgs,Times,Nounce1,Realmc,Options}的签名:
C→AS:AS_REQ={IDc,IDtgs,Times,Nounce1,Realmc,Options,SKprv-c}
AS→C:AS_REP={Realmc,IDc,Tickettgs,EKpub-c(Kc,tgs,Times,Nounce1,Realmtgs,IDtgs),SKprv-AS}
Tickettgs=EKtgs(Realmc,IDc,IDtgs,IPc,Times,Kc,tgs,Flags)
认证服务器收到客户端的请求报文后,先根据用户名称在本地数据库中查找用户的公钥Kpub-c,并对消息内容进行验签运算,如果验签通过,则认证继续;
认证服务器生成会话密钥Kc,tgs,该会话密钥用于客户端和授权服务器之间的加密通信;
认证服务器产生用户请求的授权服务器的票据许可票据TGT,该票据包括用户名称、授权服务器名称、用户IP、随机数、有效生存期限以及会话密钥Kc,tgs等,并用授权服务器的密钥Ktgs进行加密(对称)生成Tickettgs,以保证Tickettgs只有授权服务器才能解密;
用用户的公钥加密另外一份包含Kc,tgs的信息EKpub-c(Kc,tgs,Times,Nounce1,Realmtgs,IDtgs);
认证服务器再对整个消息用自己的私钥签名生成SKprv-AS,并返回应答报文,该应答报文被用户接收到后,用户先用预先保存的认证服务器公钥验证签名,验签通过后,再用自己的私钥解密得到Kc,tgs等后续流程需要用到的信息。改进后的AS_REQ和AS_REP(AS_REP是认证响应)流程完成。
用于Hadoop集群的身份认证方法将原来简单基于口令的软件认证模式改造成基于硬件和口令结合的双因子认证模式,从而降低了Hadoop集群认证易遭受弱口令攻击的风险。本发明取代Kerberos的默认机制,避免在密钥管理中心保存用户的口令,以提高系统安全性。本发明的身份认证机制能够有效的降低系统遭受弱口令攻击的风险,而且不会造成系统的复杂度大大增加,可用性明显降低。
由于采用了上述技术方案,与现有技术相比,本发明的有益效果如下:
一,本发明由于采用了基于PKI的认证模式后,无需在KDC上保存用户的口令,减少了系统的风险点,这样大大提高了Hadoop集群身份认证的安全性。
二,由于本发明改造的是Hadoop集群身份认证中执行频率非常低的AS_REQ和AS_REQ流程,因此对系统的性能几乎没有什么影响。
三,系统认证采用双因子模式后,可以大大降低弱口令攻击的风险,对Hadoop集群的安全性也是一个比较明显的提升。
综上所述,本发明为了减轻Hadoop集群认证易遭受弱口令攻击的风险,本发明采用的措施是将原来简单基于口令的软件认证模式改造成基于硬件和口令结合的双因子认证模式。双因子认证(2FA)是指结合密码以及实物(智能卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。在本案例中,主要是将客户的私钥储存到智能卡设备中,并用口令进行加密保护。需要使用私钥进行认证前,客户端程序先要求客户输入口令,验证通过后才允许客户端调用内置在智能卡内部的非对称算法完成认证动作。Hadoop集群的认证系统经过双因子认证改造后,虽然无法完全杜绝弱口令攻击,但是由于认证过程涉及硬件设备,攻击者虽然可以通过猜测等非正常手段获取到口令,但是往往很难同时获得硬件智能卡设备,因此可以大大降低系统遭受弱口令攻击的风险。
以上所述的具体实施例,对本发明的解决的技术问题、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种用于Hadoop集群的身份认证方法,其特征在于,所述用于Hadoop集群的身份认证方法包括如下步骤:步骤一,客户端向认证服务器发送请求,请求获得票据许可票据:先以明文方式向认证服务器发出请求;请求报文包括用户名称、授权服务器名称、有效生存期限、第一随机数和用户所在的Kerberos领域用户信息;
步骤二,认证服务器收到客户端的请求报文后,先根据用户名称在本地数据库中查找用户密钥,如果查找成功,则认证继续;
步骤三,认证服务器生成会话密钥,该会话密钥用于客户端和授权服务器之间的加密通信;
步骤四,认证服务器产生用户请求的授权服务器的票据许可票据,该票据包括用户名称、授权服务器名称、用户IP、随机数、有效生存期限以及会话密钥,并用授权服务器的密钥进行加密,以保证只有授权服务器才能解密;
步骤五,认证服务器发送应答报文,该报文包括票据许可票据和用户密钥加密的信息;
步骤六,当客户端收到认证服务器返回的应答报文后,使用用户密钥进行解密,得到会话密钥,客户端向授权服务器发送访问Hadoop应用服务器的请求报文,请求获得服务许可票据:报文内容包括要访问的Hadoop应用服务器的名称、有效生存期限、第二随机数、票据许可票据、第一认证符,第一认证符用会话密钥进行加密,包括用户名称、用户所在的Kerberos领域以及时间戳;
步骤七,授权服务器收到客户端发来的请求报文后,用自己的授权服务器的密钥对票据许可票据进行解密处理,该票据的含义为“使用会话密钥的客户是C”,授权服务器用从票据许可票据中取出的会话密钥解密第一认证符,并将第一认证符中的数据与票据许可票据中的数据进行比较,从而可以相信票据许可票据的发送者用户就是票据许可票据的实际持有者;
步骤八,授权服务器验证用户的合法身份之后,生成随机会话密钥,该随机会话密钥用于客户端和Hadoop应用服务器之间的加密通信;
步骤九,授权服务器产生用于访问Hadoop应用服务器的服务许可票据,服务许可票据包括用户名称、Hadoop应用服务器名称、用户IP、有效生存期限和随机会话密钥,并用Hadoop应用服务器的密钥来加密,以保证只有Hadoop应用服务器才能解得开;
步骤十,授权服务器发送应答报文,该应答报文包括服务许可票据和会话密钥加密的信息;
步骤十一,当客户端收到授权服务器的应答报文后,用会话密钥解密得到会话密钥;
步骤十二,客户端向Hadoop应用服务器发送请求报文,该请求报文的内容包括Hadoop应用服务器名称、用于访问Hadoop应用服务器的服务许可票据以及用随机会话密钥加密的第二认证符;
步骤十三,Hadoop应用服务器收到客户端发来的请求报文后,用自己的密钥对服务许可票据进行解密,得到随机会话密钥来解密第二认证符,并将解密后的第二认证符中的数据与服务许可票据中的数据进行比较,用户的身份得到验证;
步骤十四,Hadoop应用服务器向客户端发送应答报文,包括用随机会话密钥加密的用户名称用户信息;
步骤十五,当客户端收到信息后,解密信息并确认Hadoop应用服务器的身份后,认证结束。
2.如权利要求1所述的用于Hadoop集群的身份认证方法,其特征在于,所述步骤一的客户端向认证服务器发送票据许可票据申请请求时,在一个AS_REQ消息中增加SKprv-c字段,该字段是客户端使用自己的私钥采用非对称签名算法对消息内容的签名;认证服务器收到客户端的请求报文后,先根据用户名称在本地数据库中查找用户的公钥,并对消息内容进行验签运算,如果验签通过,则认证继续;认证服务器生成会话密钥,该会话密钥用于客户端和授权服务器之间的加密通信;认证服务器产生用户请求的授权服务器的票据许可票据,该票据包括用户名称、授权服务器名称、用户IP、随机数、有效生存期限以及会话密钥用户,并用授权服务器的密钥进行加密生成Tickettgs,以保证Tickettgs只有授权服务器才能解密;用用户的公钥加密另外一份包含会话秘钥的信息EKpub-c;认证服务器再对整个消息用自己的私钥签名生成SKprv-AS,并返回应答报文,该应答报文被用户接收到后,用户先用预先保存的认证服务器公钥验证签名,验签通过后,再用自己的私钥解密得到会话秘钥后续流程需要用到的信息。
3.如权利要求1所述的用于Hadoop集群的身份认证方法,其特征在于,所述用于Hadoop集群的身份认证方法通过称为密钥分发中心的第三方服务来验证集群中实体的相互身份,并建立密钥以保证实体间的安全连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710428877.4A CN107257334B (zh) | 2017-06-08 | 2017-06-08 | 用于Hadoop集群的身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710428877.4A CN107257334B (zh) | 2017-06-08 | 2017-06-08 | 用于Hadoop集群的身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107257334A CN107257334A (zh) | 2017-10-17 |
CN107257334B true CN107257334B (zh) | 2020-07-14 |
Family
ID=60023008
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710428877.4A Active CN107257334B (zh) | 2017-06-08 | 2017-06-08 | 用于Hadoop集群的身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107257334B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107579977A (zh) * | 2017-09-04 | 2018-01-12 | 珠海迈科智能科技股份有限公司 | 一种密钥防盗方法及装置 |
CN109802927B (zh) * | 2017-11-17 | 2021-06-11 | 航天信息股份有限公司 | 一种安全服务提供方法及装置 |
CN108289098B (zh) * | 2018-01-12 | 2021-07-06 | 百度在线网络技术(北京)有限公司 | 分布式文件系统的权限管理方法和装置、服务器、介质 |
CN108566273A (zh) * | 2018-03-01 | 2018-09-21 | 如般量子科技有限公司 | 基于量子网络的身份认证系统 |
CN108683501B (zh) * | 2018-03-01 | 2021-01-05 | 如般量子科技有限公司 | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 |
CN108769056B (zh) * | 2018-06-15 | 2021-03-23 | 中国人民解放军战略支援部队信息工程大学 | 一种单点登录方法、装置及系统 |
CN109245880B (zh) * | 2018-09-07 | 2021-06-22 | 国网福建省电力有限公司 | 一种基于对hadoop组件安全加固方法 |
CN111090850B (zh) * | 2018-10-24 | 2022-05-03 | 杭州海康威视系统技术有限公司 | 一种认证系统、方法及装置 |
CN109639711A (zh) * | 2018-12-29 | 2019-04-16 | 成都康赛信息技术有限公司 | 一种基于私有链会话id的分布式cas认证方法 |
CN110740122B (zh) * | 2019-09-11 | 2022-06-07 | 苏宁云计算有限公司 | 一种提高数据仓库安全性的方法、装置 |
CN111539718B (zh) * | 2020-01-19 | 2022-09-20 | 南京邮电大学 | 一种基于侧链的区块链跨链身份认证方法 |
CN111310132A (zh) * | 2020-02-24 | 2020-06-19 | 山东爱城市网信息技术有限公司 | 一种基于java开发的集群证书认证方法 |
CN111901346B (zh) * | 2020-07-29 | 2022-10-25 | 北京奇艺世纪科技有限公司 | 一种身份认证系统 |
CN112016082B (zh) * | 2020-10-26 | 2021-01-22 | 成都掌控者网络科技有限公司 | 一种权限清单安全控制方法 |
CN112540830B (zh) * | 2020-12-21 | 2022-03-04 | 广州华资软件技术有限公司 | 一种单JVM进程中同时支持多个Kerberos认证的方法 |
CN113364770B (zh) * | 2021-06-03 | 2022-12-27 | 上海天旦网络科技发展有限公司 | 一种基于集群特征的许可证实现方法及系统 |
CN113704724B (zh) * | 2021-11-01 | 2022-01-11 | 天津南大通用数据技术股份有限公司 | 一种基于Kerberos机制实现数据库登录认证的方法 |
CN114726606B (zh) * | 2022-03-31 | 2023-03-24 | 北京九州恒盛电力科技有限公司 | 一种用户认证方法、客户端、网关及认证服务器 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457555A (zh) * | 2010-10-28 | 2012-05-16 | 中兴通讯股份有限公司 | 一种分布式存储的安全系统及方法 |
CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
CN104317610A (zh) * | 2014-10-11 | 2015-01-28 | 福建新大陆软件工程有限公司 | 一种hadoop平台自动安装部署的方法及装置 |
CN104348846A (zh) * | 2013-07-24 | 2015-02-11 | 航天信息股份有限公司 | 基于wpki实现云存储系统数据通信安全的方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10298555B2 (en) * | 2014-04-04 | 2019-05-21 | Zettaset, Inc. | Securing files under the semi-trusted user threat model using per-file key encryption |
-
2017
- 2017-06-08 CN CN201710428877.4A patent/CN107257334B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457555A (zh) * | 2010-10-28 | 2012-05-16 | 中兴通讯股份有限公司 | 一种分布式存储的安全系统及方法 |
CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
CN104348846A (zh) * | 2013-07-24 | 2015-02-11 | 航天信息股份有限公司 | 基于wpki实现云存储系统数据通信安全的方法和系统 |
CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
CN103780618B (zh) * | 2014-01-22 | 2016-11-09 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
CN104317610A (zh) * | 2014-10-11 | 2015-01-28 | 福建新大陆软件工程有限公司 | 一种hadoop平台自动安装部署的方法及装置 |
Non-Patent Citations (2)
Title |
---|
基于Hadoop的云端安全存储系统的研究和设计;辛跃华;《科教文汇(上旬刊) 》;20161010;178-185页 * |
基于公钥基础设施的Hadoop安全机制设计;陈卓;《计算机测量与控制》;20160425;149-166页 * |
Also Published As
Publication number | Publication date |
---|---|
CN107257334A (zh) | 2017-10-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107257334B (zh) | 用于Hadoop集群的身份认证方法 | |
CN108810029B (zh) | 一种微服务架构服务间鉴权系统及优化方法 | |
CN108092776B (zh) | 一种基于身份认证服务器和身份认证令牌的系统 | |
US10243742B2 (en) | Method and system for accessing a device by a user | |
JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
EP2289220B1 (en) | Network helper for authentication between a token and verifiers | |
CN101212293B (zh) | 一种身份认证方法及系统 | |
US20070130463A1 (en) | Single one-time password token with single PIN for access to multiple providers | |
CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
CN111447214A (zh) | 一种基于指纹识别的公钥密码集中服务的方法 | |
CN108881222A (zh) | 基于pam架构的强身份认证系统及方法 | |
KR20210095093A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
KR102012262B1 (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 | |
CN113612797A (zh) | 一种基于国密算法的Kerberos身份认证协议改进方法 | |
Rao et al. | Authentication using mobile phone as a security token | |
CN113079022A (zh) | 一种基于sm2密钥协商机制的安全传输方法和系统 | |
CN114513339A (zh) | 一种安全认证方法、系统及装置 | |
CN107104792B (zh) | 一种便携式移动口令管理系统及其管理方法 | |
JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
Moon et al. | An AAA scheme using ID-based ticket with anonymity in future mobile communication | |
JP4372403B2 (ja) | 認証システム | |
CN112035820B (zh) | 一种用于Kerberos加密环境下的数据解析方法 | |
KR20080076399A (ko) | 모바일 기기를 이용한 사용자와 서버간의 상호 인증시스템, 그 방법 및 기록매체 | |
CN100596066C (zh) | 一种基于h323系统的实体认证方法 | |
Culnane et al. | Formalising Application-Driven Authentication & Access-Control based on Users’ Companion Devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |