[发明专利]用于Hadoop集群的身份认证方法

摘要

本发明公开了一种用于Hadoop集群的身份认证方法，其包括下列步骤：步骤一，客户端向认证服务器发送请求，请求获得票据许可票据，先以明文方式向认证服务器发出请求，请求报文包括用户名称、授权服务器名称、有效生存期限、第一随机数和用户所在的Kerberos领域用户信息；步骤二，认证服务器收到客户端的请求报文后，先根据用户名称在本地数据库中查找用户的密钥，如果查找成功，则认证继续。本发明由于采用了基于PKI的认证模式后，无需在KDC上保存用户的口令，减少了系统的风险点，这样大大提高了Hadoop集群身份认证的安全性。

主权项

一种用于Hadoop集群的身份认证方法，其特征在于，所述用于Hadoop集群的身份认证方法包括如下步骤：步骤一，客户端向认证服务器发送请求，请求获得票据许可票据：先以明文方式向认证服务器发出请求；请求报文包括用户名称、授权服务器名称、有效生存期限、第一随机数和用户所在的Kerberos领域用户信息；步骤二，认证服务器收到客户端的请求报文后，先根据用户名称在本地数据库中查找用户密钥，如果查找成功，则认证继续；步骤三，认证服务器生成会话密钥，该会话密钥用于客户端和授权服务器之间的加密通信；步骤四，认证服务器产生用户请求的授权服务器的票据许可票据，该票据包括用户名称、授权服务器名称、用户IP、随机数、有效生存期限以及会话密钥，并用授权服务器的密钥进行加密，以保证只有授权服务器才能解密；步骤五，认证服务器发送应答报文，该报文包括票据许可票据和用户密钥加密的信息；步骤六，当客户端收到认证服务器返回的应答报文后，使用用户密钥进行解密，得到会话密钥，客户端向授权服务器发送访问Hadoop应用服务器的请求报文，请求获得服务许可票据：报文内容包括要访问的Hadoop应用服务器的名称、有效生存期限、第二随机数、票据许可票据、第一认证符，第一认证符用会话密钥进行加密，包括用户名称、用户所在的Kerberos领域以及时间戳；步骤七，授权服务器收到客户端发来的请求报文后，用自己的授权服务器的密钥对票据许可票据进行解密处理，该票据的含义为“使用会话密钥的客户是C”，授权服务器用从票据许可票据中取出的会话密钥解密第一认证符，并将第一认证符中的数据与票据许可票据中的数据进行比较，从而可以相信票据许可票据的发送者用户就是票据许可票据的实际持有者；步骤八，授权服务器验证用户的合法身份之后，生成随机会话密钥，该随机会话密钥用于客户端和Hadoop应用服务器之间的加密通信；步骤九，授权服务器产生用于访问Hadoop应用服务器的服务许可票据，服务许可票据包括用户名称、Hadoop应用服务器名称、用户IP、有效生存期限和随机会话密钥，并用Hadoop应用服务器的密钥来加密，以保证只有Hadoop应用服务器才能解得开；步骤十，授权服务器发送应答报文，该应答报文包括服务许可票据和会话密钥加密的信息；步骤十一，当客户端收到授权服务器的应答报文后，用会话密钥解密得到会话密钥；步骤十二，客户端向Hadoop应用服务器发送请求报文，该请求报文的内容包括Hadoop应用服务器名称、用于访问Hadoop应用服务器的服务许可票据以及用随机会话密钥加密的第二认证符；步骤十三，Hadoop应用服务器收到客户端发来的请求报文后，用自己的密钥对服务许可票据进行解密，得到随机会话密钥来解密第二认证符，并将解密后的第二认证符中的数据与服务许可票据中的数据进行比较，用户的身份得到验证；步骤十四，Hadoop应用服务器向客户端发送应答报文，包括用随机会话密钥加密的用户名称用户信息；步骤十五，当客户端收到信息后，解密信息并确认Hadoop应用服务器的身份后，认证结束。