[发明专利]通信方法及装置

说明书

本发明实施例提供一种通信方法及装置。所述方法应用于Hadoop客户端，包括：向Hadoop服务器发送第一请求消息；所述第一请求消息中携带有密码规范参数，所述密码规范参数中至少包括所述Hadoop客户端支持的加密算法；接收所述Hadoop服务器针对所述第一请求消息的第一响应消息；所述第一响应消息中至少包括所述Hadoop服务器的第一预设数字证书以及所述Hadoop服务器从所述加密算法中选择的第一加密算法；根据所述第一预设数字证书对所述Hadoop服务器进行身份认证；当所述身份认证通过时，根据所述第一加密算法生成密码规范，将所述密码规范发送至所述Hadoop服务器。本发明实施例实现Hadoop集群中数据的加密传输，利用数据加密技术，确保数据在网络上的传输过程中不会被截取或窃听。

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

云计算(Cloud Computing)是一种通过互联网来提供动态易扩展的虚拟化资源的数据处理、存储方式。随着云计算的飞速发展，强大的计算存储能力使其被广泛地应用到各个领域。

数据安全是云计算研究领域中较为重要的一部分。目前，Hadoop是一种广泛应用的云计算方法，其最核心的两个模块分别是分布式文件系统模块(Hadoop DistributedFile System，HDFS)和大规模数据集的并行运算模块(Mapreduce)；其中，HDFS是Hadoop的存储模块，为云计算系统提供分布式存储的底层支持，具有高容错，易扩展等特点；MapReducd是一种Hadoop提供的计算模型，用来高效处理大数据问题，为云计算中的分布式并行任务处理提供支持，并且能够让用户直接进行分布式程序开发。通常情况下，用户的数据信息都存储在Hadoop的HDFS中，并且Hadoop中的身份认证和数据保护都在HDFS中进行。

但Hadoop在数据安全上存在一定的缺陷，比如在平台用户身份认证和数据传输加密方面。由于Hadoop最初的设计目的只是在单一用户数据可控的环境下，建立一个高效的并行计算模型；随着Hadoop平台的演变和发展，以Hadoop为基础的云平台的逐步普及，Hadoop的用户群体和构建Hadoop集群(包括Hadoop客户端以及Hadoop服务器)的环境复杂多样，其安全缺陷逐渐显露出来。

Hadoop中现有的安全机制主要分为两部分：一部分是在用户(客户端)层面上对用户实施身份认证，访问控制；另一部分是在数据层面对存放其中的数据进行加密、备份、恢复等过程；以下为上述两部分在数据安全上存在的缺陷：

一，在用户层面：

Hadoop中用户的访问权限一般分为只读、写入和执行，通过网络认证协议(kerberos)的身份认证体系进行用户的身份认证和访问授权。在kerberos认证体系中，密钥分配中心(Key Distribution Center，KDC)是整个体系的核心；客户端首先通过KDC进行身份认证，随后向KDC发送访问节点数据的请求，KDC通过请求后给客户端颁发票据，客户端利用票据可以通过节点的认证获取访问权限。

一方面，KDC作为整个体系的核心带来一定的弊端，比如KDC在Hadoop集群中过于重要，每一个新的任务执行都有KDC的认证授权，一旦KDC出现故障，整个Hadoop集群无法进行。

另一方面，在kerberos认证体系中，KDC是建立在Hadoop集群的节点中，没有很高的安全保证，KDC安全防护过于薄弱。而客户端、Hadoop集群的密钥均存储在KDC中，一旦KDC被攻破，则整个集群的数据对于攻击者都是透明的。

二，在数据层面：