的安全性的用户证书方式。它可以独立国家于各服务组件,确保只有通过身份认证的节点才可以采访对应的服务,进而确保开源大数据的系统安全。
作为开源大数据卫士的Kerberos,其安全性可靠性毋庸置疑,但是在运营确保和部署成本等方面,却不会为规模较小的企业用户带给一笔极大的开销。一般来说,企业在终端Kerberos之前,早已在多个场景下配备了对应的身份认证系统。而Hadoop开源大数据平台所用于的Kerberos,并无法反对除Kerberos内置的用户名密码证书以外的其它证书机制,无法和企业早已部署的用户证书方式展开无缝接入。更让人苦恼的是,Java也没一个原始的Kerberos库,很难对它展开变更。
因此,要把有数的身份认证系统终端Kerberos的证书流程中,其研发可玩性和工作量都将不会是十分可观的。Kerberos 在现实中遇上的问题Kerberos的这些问题,对腾讯AI Lab这样的企业级用户,造成了极大的后遗症:腾讯AI Lab此前的大数据集群并没落成身份认证,无法构建用户存储隔绝,给定用户都可通过变更客户端的配备,假造成超级用户采访所有内容。所以,必需把集中在有所不同服务上的证书方式都拆分在一起,基于有数的大数据集群展开身份认证的二次开发。这拒绝开发者确保现有的服务不不受影响,让用户可以延用过去熟知的证书方式,无法做到过于多的变更。
同时,还无法用把所有用户账号信息都实时到新的数据库的方式,因为这不会减少大量的部署和运维成本。为了协助腾讯AI Lab应付这些挑战,在安全性证书领域累积了非常丰富经验的英特尔大数据部门,基于英特尔®的数据中心平台,英特尔研发了可插拔的身份认证框架Hadoop Authentication Service (HAS)。它可以与现有的证书和许可体系接入,需要在有数的用户账号系统和Kerberos数据库之间迁入和实时用户账号信息,也不影响现有服务的连续性。同时,这种架构不必须独立国家确保自己的身份信息,增加了中间环节,大大降低了企业身份信息管理的复杂性和风险。
HAS系统架构示意图与传统的Kerberos有所不同,HAS在功能上还包括了一个Token Authority和一个Apache Kerby 获取的Kerby KDC。Token Authority将其他有数证书系统的信息转换成HAS Token,再行用于HAS Token向Kerby KDC交换条件Kerberos Ticket。获得Kerberos Ticket后,就可以通过标准的Kerberos协议流程采访Hadoop集群的服务。
基于这样的技术手段,用户可以之后用于原本的Kerberos证书机制,也可以之后用于以前熟知的证书方式指定。所有集中的服务都统一在一套证书系统中,需要再行分别新的设置。
与此同时,因为防止了用户账户信息的拷贝和实时,HAS减少了运营确保的复杂度和成本,和信息泄漏的风险。HAS不仅可以作为在Hadoop集群上标准化构建的用户证书解决方案,更加可以以定做成插件与企业特有证书系统融合。针对腾讯AI Lab的市场需求,英特尔还自定义了MySQL插件。
当用户自由选择用于MySQL插件证书方式后,只必须在自己的环境中配备好账号信息,客户端就不会自动已完成用户身份认证。此外,英特尔还构建了自动化部署工具,一键部署Keytab与SSL证书,很大修改了部署与优化工作。HAS需要协助各种有所不同的云计算、大数据涉及的行业用户,更加便利地以低成本部署身份认证系统。
对英特尔的工程师而言:技术是为了服务用户,而不是为了展现出自己的技术能力。研发HAS的想法,就是为了便利用户的用于,将简单的问题显得非常简单。
HAS还在大大地完备中,利用Intel® SGX技术,英特尔未来不会进一步提高HAS的安全性。在Intel的下一代Xeon SP处理器上,将有机会运用SGX技术来隔绝处置和存储HAS证书过程中产生和用于的敏感数据,让身份认证更为安全性。版权文章,予以许可禁令刊登。
下文闻刊登须知。
本文关键词:大阳城8722官方网站
本文来源:大阳城8722官方网站-www.runbanye.cn