WO2016177051A1

WO2016177051A1 - 安全认证的方法及装置

Info

Publication number: WO2016177051A1
Application number: PCT/CN2016/075242
Authority: WO
Inventors: 黄增建; 尤元建; 吴孝鹏
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-09-15
Filing date: 2016-03-01
Publication date: 2016-11-10
Also published as: CN106533688A

Abstract

本发明提供了一种安全认证的方法及装置，其中，该方法包括：大数据平台中的被接入端接收用于在本地配置白名单的第一配置指令，其中，白名单中存储有允许与被接入端建立连接的用于标识接入端的标识；在大数据平台中接入端接入被接入端之前，被接入端判断接入端的标识是否与白名单的标识匹配；在判断结果为是时，被接入端允许接入端与被接入端建立连接。通过本发明，解决了相关技术中Kerberos认证机制的流程和算法复杂的问题，减少了代码开发工作量和对系统性能的影响，提高了大数据平台的认证效率。

Description

安全认证的方法及装置

技术领域

本发明涉及计算机领域，具体而言，涉及一种安全认证的方法及装置。

背景技术

在Hadoop1.0.0或者CDH3版本之前，Hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的，值得信赖的。用户与HDFS或者M/R进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到Hadoop集群上，恶意的提交作业，修改JobTracker状态，篡改HDFS上的数据，伪装成NameNode(管理者)或者TaskTracker接受任务等。尽管在版本0.16以后，HDFS增加了文件和目录的权限，但是并没有强认证的保障，这些权限只能对偶然的数据丢失起保护作用。恶意的用户可以轻易的伪装成其他用户来篡改权限，致使权限设置形同虚设。不能够对Hadoop集群起到安全保障。

在Hadoop1.0.0或者CDH3版本后，加入了Kerberos认证机制。使得集群中的节点就是它们所宣称的，是信赖的。Kerberos可以将认证的密钥在集群部署时事先放到可靠的节点上。集群运行时，集群内的节点使用密钥得到认证。只有被认证过节点才能正常使用。企图冒充的节点由于没有事先得到的密钥信息，无法与集群内部的节点通信。防止了恶意的使用或篡改Hadoop集群的问题，确保了Hadoop集群的可靠安全。

目前集群的安全认证，可以认为分为两个不同的场景，一个是集群内部的主从节点之间的认证，一个是集群的客户端和服务端之间的认证。相关技术中的Kerberos认证机制对客户端和服务端、IP地址等都不信任，认为除了KDC服务器以外一切都存在着危险，所以流程和算法都很复杂，对系统性能会造成比较大的影响。

针对相关技术中Kerberos认证机制的流程和算法复杂的问题，目前尚未存在有效解决方案。

发明内容

本发明实施例提供了一种安全认证的方法及装置，以至少解决相关技术中Kerberos认证机制的流程和算法复杂的问题。

根据本发明实施例的一个方面，提供了一种安全认证的方法，包括：大数据平台中的被接入端接收用于在本地配置白名单的第一配置指令，其中，所述白名单中存储有允许与所述被接入端建立连接的用于标识接入端的标识；在大数据平台中接入端接入所述被接入端之前，所述被接入端判断所述接入端的标识是否与所述白名单的标识匹配；在判断结果为是时，所述被接入端允许所述接入端与所述被接入端建立连接。

可选地，所述方法还包括：在判断结果为否时，所述被接入端禁止所述接入端建立连接，并上报告警消息。

可选地，在所述被接入端为所述大数据平台内部的主节点，所述接入端为所述大数据平台内部的次节点时，所述用于标识次节点的标识为所述次节点的主机名。

可选地，在所述被接入端为大数据平台中的服务端，所述接入端为所述大数据平台中的客户端时，所述用于标识客户端的标识为所述服务端的IP。

可选地，在被接入端接收在本地配置白名单的配置指令之后，所述方法还包括：所述服务端接收第二配置指令，其中，所述第二配置指令用于配置供用户查看和/或更新所述服务端IP的管理界面。

根据本发明实施例的另一个方面，提供了一种安全认证的装置，应用于被接入端侧，包括：第一接收模块，设置为接收用于在本地配置白名单的第一配置指令，其中，所述白名单中存储有允许与所述被接入端建立连接的用于标识接入端的标识；判断模块，设置为在接入端接入所述被接入端之前，判断所述接入端的标识是否与所述白名单的标识匹配；建立模块，设置为在判断结果为是时，允许所述接入端与所述被接入端建立连接。

可选地，所述装置还包括：禁止模块，设置为在判断结果为否时，禁止所述接入端建立连接，并上报告警消息。

可选地，在所述被接入端为大数据平台内部的主节点，所述接入端为所述大数据平台内部的次节点时，所述用于标识次节点的标识为所述次节点的主机名。

可选地，在被接入端接收在本地配置白名单的配置指令之后，所述装置还包括：第二接收模块，设置为接收第二配置指令，其中，所述第二配置指令用于配置供用户查看和/或更新所述服务端IP的管理界面。

在本发明实施例中，采用了在大数据平台中的被接入端配置了白名单，该白名单中存储有允许与被接入端建立连接的用于标识接入端的标识，因此在大数据平台中的接入端接入被接入端之前，被接入端判断接入端的标识是否与白名单的标识匹配，在判断结果为是时，该被接入端才会允许该接入端接入被接入端并建立连接的方式，从而解决了相关技术中Kerberos认证机制的流程和算法复杂的问题，减少了代码开发工作量和对系统性能的影响，提高了大数据平台的认证效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的安全认证的方法流程图；

图2是根据本发明实施例的安全认证的装置的结构框图；

图3是根据本发明实施例的安全认证的装置的可选结构框图一；

图4是根据本发明可选实施例的集群内部使用基于白名单的认证的安全认证示意图；

图5是本发明可选实施例的集群的客户端和服务端使用基于白名单的认证的安全认证示意图；

图6是本发明可选实施例的综合集群内部主从节点的安全认证和客户端的安全认证，再结合Hadoop原生的安全权限控制策略，得到的大数据管理系统安全部署图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

在本实施例中提供了一种安全认证的方法，图1是根据本发明实施例的安全认证的方法流程图，如图1所示，该流程包括如下步骤：

步骤S102：大数据平台中的被接入端接收用于在本地配置白名单的第一配置指令，其中，白名单中存储有允许与被接入端建立连接的用于标识接入端的标识；

步骤S104：在大数据平台中的接入端接入被接入端之前，被接入端判断接入端的标识是否与白名单的标识匹配；

步骤S106：在判断结果为是时，被接入端允许接入端与被接入端建立连接。

通过本实施例中的步骤S102至步骤S106，采用了在大数据平台中的被接入端配置了白名单，该白名单中存储有允许与被接入端建立连接的用于标识接入端的标识，因此在大数据平台中的接入端接入被接入端之前，被接入端判断接入端的标识是否与白名单的标识匹配，在判断结果为是时，该被接入端才会允许该接入端接入被接入端并建立连接的方式，从而解决了相关技术中Kerberos认证机制的流程和算法复杂的问题，减少了代码开发工作量和对系统性能的影响，提高了大数据平台的认证效率。

此外，在本实施例中上述步骤S104之后，本实施例的方法还可以包括：在判断结果为否时，被接入端禁止接入端建立连接，并上报告警消息。通过该步骤判断出非法的接入端时，通过告警消息能够及时有效的告知系统或用户。

需要说明的是，由于本实施例中涉及到的是大数据平台的被接入端和接入端，因此，该被接入端和接入端可以分别为：主节点和此节点，或是客户端和服务端。而在被接入端为大数据平台内部的主节点，接入端为大数据平台内部的次节点时，用于标识次节点的标识为次节点的主机名；或者，在被接入端为大数据平台中的服务端，接入端为大数据平台中的客户端时，用于标识客户端的标识为服务端的IP。

在本实施例中的另一个可选实施例中，在被接入端接收在本地配置白名单的配置指令之后，本实施例的方法还可以包括：服务端接收第二配置指令，其中，第二配置指令用于配置供用户查看和/或更新服务端IP的管理界面。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例的方法。

在本实施例中还提供了一种安全认证的装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本发明实施例的安全认证的装置的结构框图，应用于被接入端侧，如图2所示，该装置包括：第一接收模块22，设置为接收用于在本地配置白名单的第一配置指令，其中，白名单中存储有允许与被接入端建立连接的用于标识接入端的标识；判断模块24，与第一接收模块22耦合连接，设置为在接入端接入被接入端之前，判断接入端的标识是否与白名单的标识匹配；建立模块26，与判断模块24耦合连接，设置为在判断结果为是时，允许接入端与被接入端建立连接。

图3是根据本发明实施例的安全认证的装置的可选结构框图一，如图3所示，该装置还包括：禁止模块32，与判断模块24耦合连接，设置为在判断结果为否时，禁止接入端建立连接，并上报告警消息。

可选地，在被接入端为大数据平台中的服务端，接入端为大数据平台中的客户端时，在被接入端接收在本地配置白名单的配置指令之后，本实施例的装置还包括：第二接收模块，设置为接收第二配置指令，其中，第二配置指令用于配置供用户查看和/或更新服务端IP的管理界面。

下面结合本发明的可选实施例对本发明进行举例说明；

对大数据平台的内部主从节点之间的访问以及外部接入客户端的访问进行鉴权，防止恶意用户或者服务器入侵到Hadoop集群上，恶意的提交作业，修改JobTracker状态，篡改HDFS上的数据，伪装成NameNode或者TaskTracker接受任务等。从而保证大数据存储系统的数据安全。因此，本可选实施例提供了一种大数据管理系统的安全认证方法，该方法的方案包括：

对于服务端集群内部各主从节点之间的认证，比如NameNode(主节点)和DataNode(从节点)之间，ResourceManager(资源管理器)和NodeManager(节点管理器)之间，HMaster和HRegionserver之间，这种认证通过白名单方式来完成，白名单配置使用Hadoop原生的HOST白名单配置文件。对于集群内部连接上来的DataNode、NodeManager或者HRegionserver的主机名进行判断，如果该主机名在白名单中才允许其连接，否则拒绝其连接。

对于集群的客户端和服务端之间的认证，也采用IP白名单方式，在所有客户端会连接的服务端，如：NameNode、ResourceManager、HMaster和RegionServer上面建立一个Clients文件，其中存放所有的白名单用户的IP或者IP段。对于RPC连接上来的客户端的IP进行判断，如果该IP在白名单中才允许其连接，否则断开其连接。同时，HIVE则通过JDBC，对连接其的客户端进行认证。

下面结合附图对本可选实施例进行详细的说明；

图4是根据本发明可选实施例的集群内部使用基于白名单的认证的安全认证示意图，如图4所示，以YRAN为例，该认证的过程包括：

1.HDFS的配置在hdfs-site.xml中配置项dfs.hosts配置为一个slaves文件，该文件中配置内容是从节点的域名。对于hdfs，主节点就是NameNode，从节点就是DataNode，NameNode发现连接上来的DataNode的域名不在此文件内，则认为该DataNode不合法，拒绝连接。

2.Yarn的配置在yarn-site.xml中配置项yarn.resourcemanager.nodes.include-path配置为一个slaves文件，该文件中配置内容是从节点的域名。对于yarn，主节点就是ResourceManager，从节点就是NodeManager。某NodeManager连接到ResourceManager上面的时候，校验该NodeManager的HOST，只有在slaves配置文件中配置存在的才能通过校验。

3.HBase的配置在hbase-site.xml中配置项hbase.regionservers配置为一个regionservers文件，该文件中配置内容是从节点的域名。对于HBase，主节点就是HMaster，从节点就是HRegionserver。HMaster发现连接上来的HRegionserver的域名不在此文件内，则认为该HRegionserver不合法，拒绝连接。

图5是本发明可选实施例的集群的客户端和服务端使用基于白名单的认证的安全认证示意图，如图5所示，以HDFS为例，该认证的过程包括：

1.在服务端(NameNode、ResourceManager、HMaster和RegionServer)上面建立一个IP或者IP段的白名单，对于RPC连接上来的客户端的IP进行判断，如果该IP在白名单中才允许其连接，否则断开其连接；

2.Clients文件，其中存放所有的白名单用户的IP或者IP段(IP段/后面是匹配的位数)，格式如下；

192.168.129.23

192.168.129.24

……

192.168.129.1/28

192.168.130.2/24

3.各个服务的白名单名称定为：

HDFS_Clients

HBASE_Clients

YARN_Clients

4.各个服务组件也需要增加配置开关，如果开关打开才进行白名单功能检查，开关关闭则不检查。

5.Hive的内部数据主要是表信息，可以认为重要性不高，所以可以沿用其原生的安全机制，采用JDBC用户名密码检查的方式即可。

6.Clients文件都可以通过MANAGER进行界面化配置和管理。MANAGER提供界面，对每个服务节点允许接入的IP可以进行查看和修改。同时，安装节点的时候，此文件默认不生成，即不启用此功能，只有在用户手动添加白名单的时候，才会生成该白名单文件并启用此功能。

同时，为了能让Clients文件在修改了之后不需要服务端重启就能使用，对应每个服务组件，都增加一个JMX处理，即接收MANAGER过来的命令请求，用来刷新内存中的客户端IP白名单和配置开关。

7.服务端在启动的时候，读取Clients，加载到内存中，之后当有客户端通过RPC连接上来的时候，首先检查该连接的IP是否在白名单中，如果不在，则拒绝其连接，并进行告警，以防止非法用户恶意攻击。

图6是本发明可选实施例的综合集群内部主从节点的安全认证和客户端的安全认证，再结合Hadoop原生的安全权限控制策略，得到的大数据管理系统安全部署图，如图6所示，该认证的过程为：综合集群内部主从节点的安全认证和客户端的安全认证，再结合Hadoop原生的安全权限控制策略，得到的整套大数据管理系统安全部署方案。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述模块分别位于多个处理器中。

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

步骤S1：大数据平台中的被接入端接收用于在本地配置白名单的第一配置指令，其中，白名单中存储有允许与被接入端建立连接的用于标识接入端的标识；

步骤S2：在大数据平台中的接入端接入被接入端之前，被接入端判断接入端的标识是否与白名单的标识匹配；

步骤S3：在判断结果为是时，被接入端允许接入端与被接入端建立连接。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

Claims

一种安全认证的方法，包括：

大数据平台中的被接入端接收用于在本地配置白名单的第一配置指令，其中，所述白名单中存储有允许与所述被接入端建立连接的用于标识接入端的标识；

在大数据平台中接入端接入所述被接入端之前，所述被接入端判断所述接入端的标识是否与所述白名单的标识匹配；

在判断结果为是时，所述被接入端允许所述接入端与所述被接入端建立连接。
根据权利要求1所述的方法，其中，所述方法还包括：

在判断结果为否时，所述被接入端禁止所述接入端建立连接，并上报告警消息。
根据权利要求1或2所述的方法，其中，在所述被接入端为所述大数据平台内部的主节点，所述接入端为所述大数据平台内部的次节点时，所述用于标识次节点的标识为所述次节点的主机名。
根据权利要求1或2所述的方法，其中，在所述被接入端为大数据平台中的服务端，所述接入端为所述大数据平台中的客户端时，所述用于标识客户端的标识为所述服务端的IP。
根据权利要求4所述的方法，其中，在被接入端接收在本地配置白名单的配置指令之后，所述方法还包括：

所述服务端接收第二配置指令，其中，所述第二配置指令用于配置供用户查看和/或更新所述服务端的IP的管理界面。
一种安全认证的装置，应用于被接入端侧，包括：

第一接收模块，设置为接收用于在本地配置白名单的第一配置指令，其中，所述白名单中存储有允许与所述被接入端建立连接的用于标识接入端的标识；

判断模块，设置为在接入端接入所述被接入端之前，判断所述接入端的标识是否与所述白名单的标识匹配；

建立模块，设置为在判断结果为是时，允许所述接入端与所述被接入端建立连接。
根据权利要求6所述的装置，其中，所述装置还包括：

禁止模块，设置为在判断结果为否时，禁止所述接入端建立连接，并上报告警消息。
根据权利要求6或7所述的装置，其中，在所述被接入端为大数据平台内部的主节点，所述接入端为所述大数据平台内部的次节点时，所述用于标识次节点的标识为所述次节点的主机名。
根据权利要求6或7所述的装置，其中，在所述被接入端为大数据平台中的服务端，所述接入端为所述大数据平台中的客户端时，所述用于标识客户端的标识为所述服务端的IP。
根据权利要求9所述的装置，其中，所述装置还包括：

第二接收模块，设置为在被接入端接收在本地配置白名单的配置指令之后，接收第二配置指令，其中，所述第二配置指令用于配置供用户查看和/或更新所述服务端的IP的管理界面。