在古希腊神话中,Kerberos 是住在冥河岸边的三头犬,负责看守冥界的入口。而在信息技术界,Kerberos 是一种被广泛采用的网络认证协议,通过对称加密的技术,保护网络系统的安全。特别是在 Hadoop 开源大数据平台,Kerberos 是唯一内置支持的安全的用户认证方式。它可以独立于各服务组件,保证只有通过身份认证的节点才可以访问对应的服务,进而维护开源大数据的系统安全。
作为开源大数据卫士的 Kerberos,其安全性可靠性毋庸置疑,但是在运营维护和部署成本等方面,却会为规模较大的企业用户带来一笔不小的负担。通常,企业在接入 Kerberos 之前,已经在多个场景下配置了对应的身份认证系统。而 Hadoop 开源大数据平台所使用的 Kerberos,并不能支持除 Kerberos 内置的用户名密码认证以外的其它认证机制,无法和企业已经部署的用户认证方式进行无缝对接。更让人烦恼的是,Java 也没有一个完整的 Kerberos 库,很难对它进行更改。因此,要把已有的身份认证系统接入 Kerberos 的认证流程中,其开发难度和工作量都将会是非常庞大的。
Kerberos 在现实中遇到的问题
Kerberos 的这些问题,对腾讯 AI Lab 这样的企业级用户,造成了不小的困扰:腾讯 AI Lab 此前的大数据集群并没有启用身份认证,无法实现用户存储隔离,任意用户都可通过更改客户端的配置,伪造成超级用户访问所有内容。所以,必须把分散在不同服务上的认证方式都合并在一起,基于已有的大数据集群进行身份认证的二次开发。这要求开发者保证现有的服务不受影响,让用户可以沿用过去熟悉的认证方式,不能做太多的更改。同时,还不能用把所有用户账号信息都同步到新数据库的方式,因为这会增加大量的部署和运维成本。
为了帮助腾讯 AI Lab 应对这些挑战,在安全认证领域积累了丰富经验的英特尔大数据部门,基于英特尔 ® 的数据中心平台,英特尔开发了可插拔的身份认证框架 Hadoop Authentication Service ( HAS ) 。它可以与现有的认证和授权体系对接,无需在已有的用户账号系统和 Kerberos 数据库之间迁移和同步用户账号信息,也不影响现有服务的连续性。同时,这种架构不需要独立维护自己的身份信息,减少了中间环节,大大降低了企业身份信息管理的复杂性和风险。
HAS 系统架构示意图
与传统的 Kerberos 不同,HAS 在功能上包括了一个 Token Authority 和一个 Apache Kerby 提供的 Kerby KDC。Token Authority 将其他已有认证系统的信息转换成 HAS Token,再使用 HAS Token 向 Kerby KDC 换取 Kerberos Ticket。拿到 Kerberos Ticket 后,就可以通过标准的 Kerberos 协议流程访问 Hadoop 集群的服务。
基于这样的技术手段,用户可以继续使用原先的 Kerberos 认证机制,也可以继续使用以前熟悉的认证方式登录。所有分散的服务都统一在一套认证系统中,无需再分别重新设置。与此同时,因为避免了用户账户信息的拷贝和同步,HAS 降低了运营维护的复杂度和成本,和信息泄露的风险。
HAS 不仅可以作为在 Hadoop 集群上通用集成的用户认证解决方案,更可以定制成插件与企业特有认证系统结合。针对腾讯 AI Lab 的需求,英特尔还定制了 MySQL 插件。当用户选择使用 MySQL 插件认证方式后,只需要在自己的环境中配置好账号信息,客户端就会自动完成用户身份认证。此外,英特尔还实现了自动化部署工具,一键部署 Keytab 与 SSL 证书,极大简化了部署与优化工作。
HAS 能够帮助各种不同的云计算、大数据相关的行业用户,更便捷地以低成本部署身份认证系统。对英特尔的工程师而言:技术是为了服务用户,而不是为了展现自己的技术能力。开发 HAS 的初衷,就是为了方便用户的使用,将复杂的问题变得简单。
HAS 还在不断地完善中,借助 Intel ® SGX 技术,英特尔未来会进一步提高 HAS 的安全性。在 Intel 的下一代 Xeon SP 处理器上,将有机会运用 SGX 技术来隔离处理和存储 HAS 认证过程中产生和使用的敏感数据,让身份认证更加安全。
留言与评论(共有 0 条评论) |