开源大数据卫士Kerberos面临挑战 英特尔HAS系统架构提升安全性

在古希腊神话中，Kerberos是住在冥河岸边的三头犬，负责看守冥界的入口。而在信息技术界，Kerberos是一种被广泛采用的网络认证协议，通过对称加密的技术，保护网络系统的安全。特别是在Hadoop开源大数据平台，Kerberos是唯一内置支持的安全的用户认证方式。它可以独立于各服务组件，保证只有通过身份认证的节点才可以访问对应的服务，进而维护开源大数据的系统安全。

作为开源大数据卫士的Kerberos，其安全性可靠性毋庸置疑，但是在运营维护和部署成本等方面，却会为规模较大的企业用户带来一笔不小的负担。通常，企业在接入Kerberos之前，已经在多个场景下配置了对应的身份认证系统。而Hadoop开源大数据平台所使用的Kerberos，并不能支持除Kerberos内置的用户名密码认证以外的其它认证机制，无法和企业已经部署的用户认证方式进行无缝对接。更让人烦恼的是，Java也没有一个完整的Kerberos库，很难对它进行更改。因此，要把已有的身份认证系统接入Kerberos的认证流程中，其开发难度和工作量都将会是非常庞大的。

Kerberos 在现实中遇到的问题

Kerberos的这些问题，对腾讯AI Lab这样的企业级用户，造成了不小的困扰：腾讯AI Lab此前的大数据集群并没有启用身份认证，无法实现用户存储隔离，任意用户都可通过更改客户端的配置，伪造成超级用户访问所有内容。所以，必须把分散在不同服务上的认证方式都合并在一起，基于已有的大数据集群进行身份认证的二次开发。这要求开发者保证现有的服务不受影响，让用户可以沿用过去熟悉的认证方式，不能做太多的更改。同时，还不能用把所有用户账号信息都同步到新数据库的方式，因为这会增加大量的部署和运维成本。

为了帮助腾讯AI Lab应对这些挑战，在安全认证领域积累了丰富经验的英特尔大数据部门，基于英特尔®的数据中心平台，英特尔开发了可插拔的身份认证框架Hadoop Authentication Service (HAS)。它可以与现有的认证和授权体系对接，无需在已有的用户账号系统和Kerberos数据库之间迁移和同步用户账号信息，也不影响现有服务的连续性。同时，这种架构不需要独立维护自己的身份信息，减少了中间环节，大大降低了企业身份信息管理的复杂性和风险。

HAS系统架构示意图

与传统的Kerberos不同，HAS在功能上包括了一个Token Authority和一个Apache Kerby 提供的Kerby KDC。Token Authority将其他已有认证系统的信息转换成HAS Token，再使用HAS Token向Kerby KDC换取Kerberos Ticket。拿到Kerberos Ticket后，就可以通过标准的Kerberos协议流程访问Hadoop集群的服务。

基于这样的技术手段，用户可以继续使用原先的Kerberos认证机制，也可以继续使用以前熟悉的认证方式登录。所有分散的服务都统一在一套认证系统中，无需再分别重新设置。与此同时，因为避免了用户账户信息的拷贝和同步，HAS降低了运营维护的复杂度和成本，和信息泄露的风险。

HAS不仅可以作为在Hadoop集群上通用集成的用户认证解决方案，更可以定制成插件与企业特有认证系统结合。针对腾讯AI Lab的需求，英特尔还定制了MySQL插件。当用户选择使用MySQL插件认证方式后，只需要在自己的环境中配置好账号信息，客户端就会自动完成用户身份认证。此外，英特尔还实现了自动化部署工具，一键部署Keytab与SSL证书，极大简化了部署与优化工作。

HAS能够帮助各种不同的云计算、大数据相关的行业用户，更便捷地以低成本部署身份认证系统。对英特尔的工程师而言：技术是为了服务用户，而不是为了展现自己的技术能力。开发HAS的初衷，就是为了方便用户的使用，将复杂的问题变得简单。

HAS还在不断地完善中，借助Intel® SGX技术，英特尔未来会进一步提高HAS的安全性。在Intel的下一代Xeon SP处理器上，将有机会运用SGX技术来隔离处理和存储HAS认证过程中产生和使用的敏感数据，让身份认证更加安全。