开源大数据平台如何才能保证身份认证安全？

在古希腊神话中，Kerberos是住在冥河岸边的三头犬，负责看守冥界的入口。而在信息技术界，Kerberos是一种被普遍采用的网络认证协议，经过对称加密的技术，保护网络系统的安全。特别是在Hadoop开源大数据平台，Kerberos是惟一内置支持的安全的用户认证方式。它能够独立于各服务组件，保证只有经过身份认证的节点才能够访问对应的服务，进而维护开源大数据的系统安全。

做为开源大数据卫士的Kerberos，其安全性可靠性毋庸置疑，可是在运营维护和部署成本等方面，却会为规模较大的企业用户带来一笔不小的负担。一般，企业在接入Kerberos以前，已经在多个场景下配置了对应的身份认证系统。而Hadoop开源大数据平台所使用的Kerberos，并不能支持除Kerberos内置的用户名密码认证之外的其它认证机制，没法和企业已经部署的用户认证方式进行无缝对接。更让人烦恼的是，Java也没有一个完整的Kerberos库，很难对它进行更改。所以，要把已有的身份认证系统接入Kerberos的认证流程中，其开发难度和工做量都将会是很是庞大的。

开源大数据平台如何才能保证身份认证安全？

Kerberos 在现实中遇到的问题

Kerberos的这些问题，对腾讯AI Lab这样的企业级用户，形成了不小的困扰：腾讯AI Lab此前的大数据集群并无启用身份认证，没法实现用户存储隔离，任意用户均可经过更改客户端的配置，伪形成超级用户访问全部内容。因此，必须把分散在不一样服务上的认证方式都合并在一块儿，基于已有的大数据集群进行身份认证的二次开发。这要求开发者保证现有的服务不受影响，让用户能够沿用过去熟悉的认证方式，不能作太多的更改。同时，还不能用把全部用户帐号信息都同步到新数据库的方式，由于这会增长大量的部署和运维成本。

为了帮助腾讯AI Lab应对这些挑战，在安全认证领域积累了丰富经验的英特尔大数据部门，基于英特尔®的数据中心平台，英特尔开发了可插拔的身份认证框架Hadoop Authentication Service (HAS)。它能够与现有的认证和受权体系对接，无需在已有的用户帐号系统和Kerberos数据库之间迁移和同步用户帐号信息，也不影响现有服务的连续性。同时，这种架构不须要独立维护本身的身份信息，减小了中间环节，大大下降了企业身份信息管理的复杂性和风险。

开源大数据平台如何才能保证身份认证安全？

HAS系统架构示意图

与传统的Kerberos不一样，HAS在功能上包括了一个Token Authority和一个Apache Kerby 提供的Kerby KDC。Token Authority将其余已有认证系统的信息转换成HAS Token，再使用HAS Token向Kerby KDC换取Kerberos Ticket。拿到Kerberos Ticket后，就能够经过标准的Kerberos协议流程访问Hadoop集群的服务。

基于这样的技术手段，用户能够继续使用原先的Kerberos认证机制，也能够继续使用之前熟悉的认证方式登陆。全部分散的服务都统一在一套认证系统中，无需再分别从新设置。与此同时，由于避免了用户帐户信息的拷贝和同步，HAS下降了运营维护的复杂度和成本，和信息泄露的风险。

HAS不只能够做为在Hadoop集群上通用集成的用户认证解决方案，更能够定制成插件与企业特有认证系统结合。针对腾讯AI Lab的需求，英特尔还定制了MySQL插件。当用户选择使用MySQL插件认证方式后，只须要在本身的环境中配置好帐号信息，客户端就会自动完成用户身份认证。此外，英特尔还实现了自动化部署工具，一键部署Keytab与SSL证书，极大简化了部署与优化工做。

HAS可以帮助各类不一样的云计算、大数据相关的行业用户，更便捷地以低成本部署身份认证系统。对英特尔的工程师而言：技术是为了服务用户，而不是为了展示本身的技术能力。开发HAS的初衷，就是为了方便用户的使用，将复杂的问题变得简单。

HAS还在不断地完善中，借助Intel® SGX技术，英特尔将来会进一步提升HAS的安全性。在Intel的下一代Xeon SP处理器上，将有机会运用SGX技术来隔离处理和存储HAS认证过程当中产生和使用的敏感数据，让身份认证更加安全。

文章来源：雷锋网