Ozone Security:基于证书的Block Access Token认证
文章目录
- 前言
- Block Access Token的作用
- Block Acess Token的生成
- 证书的生成
- Block Access Token流程图
前言
在HDFS中,我们有Block Access Token的机制来保证DataNode数据块访问的安全性控制。同样地,在Ozone中也有类似地一套安全机制。不过Ozone是基于X.509证书体系下的安全机制,所以在这点上和HDFS的内部实现还是有所区别的。本文笔者来简单聊聊这中间的过程,包括Block Access Token如何与这套安全机制紧密联合在一起的。
Block Access Token的作用
首先我们来了解下Block Access Token的作用,它是用来做什么的?
首先正如token本身的意思所说,它是一个“令牌”,一块用来允许访问数据的“令牌”。这个令牌理应由数据控制中心派发给数据访问者,然后数据访问者携带此令牌去访问目标数据。在目标数据所在的节点上,则会进行令牌的检查。如果检查失败,则数据访问将被拒绝。
Block Acess Token的生成
在Ozone的证书体系下,它的block access token生成附带有相关证书的私钥信息并且带上证书签名信息。因为DataNode节点和OzoneManager服务都是信赖同一份从SCM服务得来的证书,所以基于此信息构建出的token是安全可信的。
证书的生成
这里顺带提及下证书的生成过程。在Ozone中,我们是假定SCM为一个Certificate Authority,并且SCM在自启动完毕后,会做一些相关初始化操作,例如自签名操作。然后OM和DN在启动的时候都向SCM获取证书信息,并持久化证书信息在本地store里面。这2个持久化的证书对于OM,DN来说各自意义并不同。
OM:在创建块时使用证书来生成Block Access Token,并派发到对应的用户里。
DN:利用本地证书检查用户携带的Block Access Token信息。
与此同时,SCM也会记录它所派发的证书信息。
注意,这里的Block Access Token的实现还算比较light weight的,并没有被持久化出去。它的安全性很大程度上取决于本地证书的安全性。
Block Access Token流程图
以下是Block Access Token流程处理图,主要包含了2个阶段过程:
1). 纯数字编号的token验证过程
2). 带数字编号的证书处理过程
Ozone Security:基于证书的Block Access Token认证相关推荐
- HDFS block access token认证机制
文章目录 前言 Block access token HDFS block access token的原理 Block access token的更新 密钥key的分段隔离 NameNode重启问题 ...
- 聊聊Hadoop安全认证体系:Delegation Token和Block Access Token
前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证). ...
- ASP.NET WebApi 基于分布式Session方式实现Token签名认证
一.课程介绍 明人不说暗话,跟着阿笨一起学玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NETWebSer ...
- 使用 做签名的post_ASP.NET WebApi 基于分布式Session方式实现Token签名认证
一.课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NETWebServ ...
- openssl私有CA证书签发与单双向认证
什么是CA? CA是数字认证中心的简称.指的是发放.管理.废除数字证书的机构. CA的作用: 检查证书持有者身份的合法性.签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理. 建 ...
- REST API 基于ACCESS TOKEN 的权限解决方案
REST API 基于ACCESS TOKEN 的权限解决方案 参考文章: (1)REST API 基于ACCESS TOKEN 的权限解决方案 (2)https://www.cnblogs.com/ ...
- JWT Token、ID Token、Access Token、Refresh Token
JWT 简介 JSON Web Token (JWT,RFC 7519 (opens new window)),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519 ...
- 为什么 OAuth 里除了 Access Token 之外,还需要 Refresh Token?
What is the purpose of a "Refresh Token"? 问题:我有一个与 YouTube Live Streaming API 集成的程序.我以每 50 ...
- SAP云平台CloudFoundry的Access Token和refresh token
refresh token -> access token 换取的access token,因为security原因,没有以明文的方式显示在控制台里: 要获取更多Jerry的原创文章,请关注公众 ...
最新文章
- 高水平文章发表必备-数据分析和文献解读技巧
- 【转】 java自定义注解
- Android应用程序安装过程源代码分析(1)
- 信息学奥赛一本通(C++)在线评测系统——基础(二)基础算法 —— 1313:【例3.5】位数问题
- java-信息安全(一)-BASE64,MD5,SHA,HMAC,RIPEMD算法
- openlayers地图旋转_OpenLayers的使用---- 一个完全免费开源的地图JS库
- Intel 14nm PowerVR GPU成功验收:三星、台积电侧目
- python常用工具
- 为系统扩展而采取的一些措施——缓存
- 通用日志系统开发【转】
- Elasticsearch 读时分词、写时分词
- 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_6-3.微信网站扫码支付介绍...
- iOS code collection
- udp java 实例_udp例子,javaudp简单实例分享
- kgtemp文件转mp3工具
- 计算机网络习题(参考)
- 【python】将图片格式转换为RGB格式
- RDS报警问题解决过程
- 樱花泪计算机音乐,樱花泪(纯音乐)
- 高德交通大数据为道路安全解法提供基础