文章目录

  • 前言
  • Block Access Token的作用
  • Block Acess Token的生成
    • 证书的生成
  • Block Access Token流程图

前言

在HDFS中,我们有Block Access Token的机制来保证DataNode数据块访问的安全性控制。同样地,在Ozone中也有类似地一套安全机制。不过Ozone是基于X.509证书体系下的安全机制,所以在这点上和HDFS的内部实现还是有所区别的。本文笔者来简单聊聊这中间的过程,包括Block Access Token如何与这套安全机制紧密联合在一起的。

Block Access Token的作用

首先我们来了解下Block Access Token的作用,它是用来做什么的?
首先正如token本身的意思所说,它是一个“令牌”,一块用来允许访问数据的“令牌”。这个令牌理应由数据控制中心派发给数据访问者,然后数据访问者携带此令牌去访问目标数据。在目标数据所在的节点上,则会进行令牌的检查。如果检查失败,则数据访问将被拒绝。

Block Acess Token的生成

在Ozone的证书体系下,它的block access token生成附带有相关证书的私钥信息并且带上证书签名信息。因为DataNode节点和OzoneManager服务都是信赖同一份从SCM服务得来的证书,所以基于此信息构建出的token是安全可信的。

证书的生成

这里顺带提及下证书的生成过程。在Ozone中,我们是假定SCM为一个Certificate Authority,并且SCM在自启动完毕后,会做一些相关初始化操作,例如自签名操作。然后OM和DN在启动的时候都向SCM获取证书信息,并持久化证书信息在本地store里面。这2个持久化的证书对于OM,DN来说各自意义并不同。

OM:在创建块时使用证书来生成Block Access Token,并派发到对应的用户里。
DN:利用本地证书检查用户携带的Block Access Token信息。

与此同时,SCM也会记录它所派发的证书信息。

注意,这里的Block Access Token的实现还算比较light weight的,并没有被持久化出去。它的安全性很大程度上取决于本地证书的安全性。

Block Access Token流程图

以下是Block Access Token流程处理图,主要包含了2个阶段过程:

1). 纯数字编号的token验证过程
2). 带数字编号的证书处理过程

Ozone Security:基于证书的Block Access Token认证相关推荐

  1. HDFS block access token认证机制

    文章目录 前言 Block access token HDFS block access token的原理 Block access token的更新 密钥key的分段隔离 NameNode重启问题 ...

  2. 聊聊Hadoop安全认证体系:Delegation Token和Block Access Token

    前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证). ...

  3. ASP.NET WebApi 基于分布式Session方式实现Token签名认证

    一.课程介绍 明人不说暗话,跟着阿笨一起学玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NETWebSer ...

  4. 使用 做签名的post_ASP.NET WebApi 基于分布式Session方式实现Token签名认证

    一.课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NETWebServ ...

  5. openssl私有CA证书签发与单双向认证

    什么是CA? CA是数字认证中心的简称.指的是发放.管理.废除数字证书的机构. CA的作用: 检查证书持有者身份的合法性.签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理. 建 ...

  6. REST API 基于ACCESS TOKEN 的权限解决方案

    REST API 基于ACCESS TOKEN 的权限解决方案 参考文章: (1)REST API 基于ACCESS TOKEN 的权限解决方案 (2)https://www.cnblogs.com/ ...

  7. JWT Token、ID Token、Access Token、Refresh Token

    JWT 简介 JSON Web Token (JWT,RFC 7519 (opens new window)),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519 ...

  8. 为什么 OAuth 里除了 Access Token 之外,还需要 Refresh Token?

    What is the purpose of a "Refresh Token"? 问题:我有一个与 YouTube Live Streaming API 集成的程序.我以每 50 ...

  9. SAP云平台CloudFoundry的Access Token和refresh token

    refresh token -> access token 换取的access token,因为security原因,没有以明文的方式显示在控制台里: 要获取更多Jerry的原创文章,请关注公众 ...

最新文章

  1. 高水平文章发表必备-数据分析和文献解读技巧
  2. 【转】 java自定义注解
  3. Android应用程序安装过程源代码分析(1)
  4. 信息学奥赛一本通(C++)在线评测系统——基础(二)基础算法 —— 1313:【例3.5】位数问题
  5. java-信息安全(一)-BASE64,MD5,SHA,HMAC,RIPEMD算法
  6. openlayers地图旋转_OpenLayers的使用---- 一个完全免费开源的地图JS库
  7. Intel 14nm PowerVR GPU成功验收:三星、台积电侧目
  8. python常用工具
  9. 为系统扩展而采取的一些措施——缓存
  10. 通用日志系统开发【转】
  11. Elasticsearch 读时分词、写时分词
  12. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_6-3.微信网站扫码支付介绍...
  13. iOS code collection
  14. udp java 实例_udp例子,javaudp简单实例分享
  15. kgtemp文件转mp3工具
  16. 计算机网络习题(参考)
  17. 【python】将图片格式转换为RGB格式
  18. RDS报警问题解决过程
  19. 樱花泪计算机音乐,樱花泪(纯音乐)
  20. 高德交通大数据为道路安全解法提供基础

热门文章

  1. IntelliJ IDEA代码提示快捷键以及自定义代码补全设置
  2. VMware 虚拟机实现硬盘扩容自由 无需格式化
  3. Turbomail邮件系统打造G'FIVE集团企业邮箱
  4. 2022-软件测试工程师面试题(自我总结)
  5. java arraydeque_Java 容器源码分析之 Deque 与 ArrayDeque
  6. 两个有序数组的中位数
  7. PHP排序算法之选择排序
  8. C# wpf Expander控件的简单应用(7)
  9. WPF基础五:UI③带标题内容控件Expander
  10. vim的配置(如何配置vim)