[发明专利]用于Hadoop集群的身份认证方法

说明书

本发明公开了一种用于Hadoop集群的身份认证方法，其包括下列步骤：步骤一，客户端向认证服务器发送请求，请求获得票据许可票据，先以明文方式向认证服务器发出请求，请求报文包括用户名称、授权服务器名称、有效生存期限、第一随机数和用户所在的Kerberos领域用户信息；步骤二，认证服务器收到客户端的请求报文后，先根据用户名称在本地数据库中查找用户的密钥，如果查找成功，则认证继续。本发明由于采用了基于PKI的认证模式后，无需在KDC上保存用户的口令，减少了系统的风险点，这样大大提高了Hadoop集群身份认证的安全性。

技术领域

本发明涉及一种身份认证方法，特别是涉及一种用于Hadoop集群的身份认证方法。

背景技术

早期，Hadoop(Hadoop是一个由Apache基金会所开发的分布式系统基础架构)集群的初始用途是管理大量的公共Web数据，因此数据安全性和隐私并不是最初设计的考虑因素。设计时总是假定Hadoop集群将会由相互协作的、可信的机器组成，并由在可信环境中的可信用户使用。因此Hadoop不认证用户或服务，没有数据隐私，任何人都可以提交执行代码。

后来随着Hadoop成为一个更加流行的大数据分析平台，Hadoop开发社区意识到有必要为Hadoop增添更加健壮的安全控制。开发人员选择了Kerberos作为Hadoop集群的基础身份认证机制。虽然Kerberos认证具有实现简单、可靠性好、性能优越等诸多优点，但是安全性上也具有以下两个较明显的弱点：

一、系统的安全性完全基于用户口令和对称加密算法，用户口令需要存储在身份认证服务器的数据库中，管理员等高权限用户可以查看任何用户的口令。

二、由于系统安全性很大程度上取决于用户口令的复杂度，因此不可避免的容易遭受弱口令攻击。

发明内容

本发明所要解决的技术问题是提供一种用于Hadoop集群的身份认证方法，其能够大大降低系统遭受弱口令攻击的风险。

本发明是通过下述技术方案来解决上述技术问题的：一种用于Hadoop集群的身份认证方法，其特征在于，其包括如下步骤：

步骤一，客户端向认证服务器发送请求，请求获得票据许可票据：先以明文方式向认证服务器发出请求；请求报文包括用户名称、授权服务器名称、有效生存期限、第一随机数和用户所在的Kerberos领域用户信息；

步骤二，认证服务器收到客户端的请求报文后，先根据用户名称在本地数据库中查找用户密钥，如果查找成功，则认证继续；

步骤三，认证服务器生成会话密钥，该会话密钥用于客户端和授权服务器之间的加密通信；

步骤四，认证服务器产生用户请求的授权服务器的票据许可票据，该票据包括用户名称、授权服务器名称、用户IP、随机数、有效生存期限以及会话密钥，并用授权服务器的密钥进行加密，以保证只有授权服务器才能解密；

步骤五，认证服务器发送应答报文，该报文包括票据许可票据和用户密钥加密的信息；

步骤六，当客户端收到认证服务器返回的应答报文后，使用用户密钥进行解密，得到会话密钥，客户端向授权服务器发送访问Hadoop应用服务器的请求报文，请求获得服务许可票据：

报文内容包括要访问的Hadoop应用服务器的名称、有效生存期限、第二随机数、票据许可票据、第一认证符，第一认证符用会话密钥进行加密，包括用户名称、用户所在的Kerberos领域以及时间戳；

步骤七，授权服务器收到客户端发来的请求报文后，用自己的授权服务器的密钥对票据许可票据进行解密处理，该票据的含义为“使用会话密钥的客户是C”，授权服务器用从票据许可票据中取出的会话密钥解密第一认证符，并将第一认证符中的数据与票据许可票据中的数据进行比较，从而可以相信票据许可票据的发送者用户就是票据许可票据的实际持有者；