基于PKI的HDFS認證及安全傳輸機制研究

李延改，趙華偉

（1.山東財經大學計算機科學與技術學院，山東 濟南 250014；2.山東中孚信息產業股份有限公司，山東 濟南 250101）

基于PKI的HDFS認證及安全傳輸機制研究

李延改1，2，趙華偉1*

（1.山東財經大學計算機科學與技術學院，山東 濟南 250014；2.山東中孚信息產業股份有限公司，山東 濟南 250101）

為解決Hadoop核心子項目Hadoop分布式文件系統（HDFS）文件服務過程中存在的認證及安全傳輸問題，對當前所采用的Kerberos方案進行了詳細的分析，針對其在安全性和效率性方面存在的缺陷，提出將基于PKI的數字證書認證技術及基于數字信封的AES對稱加密技術應用到HDFS的安全機制中。分析表明，該安全機制與Kerberos相比，能夠為HDFS文件服務提供更安全、更高效的解決方案。

Hadoop；HDFS安全；Kerberos；PKI

Hadoop作為Apache旗下的一個開源分布式計算平臺，從2002年發布面世以來，就受到了廣泛的關注。Hadoop強大的存儲能力和高效的并行計算能力，受到了企業界的青睞，逐步成為大數據時代數據存儲處理的有效工具，Amazon、Yahoo等知名組織更是用Hadoop集群搭建自己的私有云架構。然而盡管有著無與倫比的存儲和計算能力，Hadoop薄弱的安全機制［1］卻成為其發展推廣的重大障礙，讓許多亟待使用它的企業望而卻步。

HDFS是Hadoop項目的核心項目，是Hadoop應用的一個分布式文件系統，起源于谷歌的GFS文件系統，但相較于GFS，HDFS搭建運行在廉價的商用機器集群上，并且采用流式數據訪問模式，可以處理超大文件，有著較高的訪問吞吐量。HDFS作為Hadoop數據存儲的基礎［2］，也是其上層并行計算Mapreduce的基礎，所以Hadoop的安全機制的第一步便是HDFS的安全機制設計。

本文通過分析HDFS目前所采用的Kerberos認證方案［3］，指出了其在安全性和效率性等方面存在的缺陷，提出了一種基于PKI的數字證書認證機制來代替Kerberos認證，并在文件傳輸階段采用基于數字信封的AES對稱加密技術的安全方案。通過對比分析表明，本文提出的安全方案不論在安全性還是在效率性方面，都優于Kerberos。

1 HDFS簡介

1.1 體系結構

HDFS是被設計用來處理超大文件的分布式文件系統［4］，采用Master／Slaver架構對文件系統進行管理。一個HDFS集群是由一個Namenode節點和一定數目的Datanodes節點組成的，采用中心控制模式，各類節點在集群中的主要作用是：

（1）Namenode作為集群中心服務器，承擔Master的任務［5］。

Namenode負責對HDFS文件系統的文件目錄樹及文件索引目錄、文件Block列表等進行相應的維護，并將這些信息持久化到本地磁盤的命名空間鏡像和編輯日志中。負責對HDFS文件系統的命名空間、集群配置信息和文件Block塊的創建、刪除和復制等進行管理。負責接收客戶端對HDFS文件系統的訪問請求，執行相應的文件操作，例如對文件的打開、關閉和重命名等。將HDFS中的超大文件劃分為多個Block塊，存儲在不同的Datanode中，并由Namenode中的元數據記錄每個Block與對應的Datanode的映射關系，客戶端可以通過Namenode獲得文件的元數據信息，即每個文件的每個Block所在的Datanode地址。

（2）Datanode是具體任務的執行節點，承擔Worker任務。

Datanode是文件存儲的基本單元，將文件的Block存儲在本地文件系統中，同時保存了Block的元數據信息。接受Nmaenode統一的調度，對文件的Block塊進行創建、刪除和復制等操作，同時Datanode還負責接收處理客戶端對文件的讀／寫請求。

（3）Datanode與Namenode間的交互［6］。

Namenode在每次啟動系統時都會動態重建文件系統的元數據信息，會以心跳輪詢集群中的Datanode節點，Datanode以心跳響應Namenode，定時向Namenode發送它所存儲的文件塊信息。

HDFS的體系結構如圖1所示。

圖1 HDFS的體系結構Fig.1 Architecture of HDFS

1.2 工作原理

HDFS是基于流數據模式訪問和處理超大文件的需求而開發的，適用于一次寫入、多次讀取的場合。文件在HDFS中以Block的形式存儲在數據節點Datanode中，默認的Block大小為64 M，復制因子是3，即同一Block會被存放在3個不同的Datanode上。客戶端讀取文件Block時選取離自己最近的Datanode節點進行數據讀取。HDFS的工作原理如下。

1.2.1 讀文件流程

（1）客戶端通過RPC向HDFS的Namenode發送文件讀請求；

（2）Namenode將客戶端所請求的文件的Blocks所在的Datanodes地址，以及Block副本所在的地址等元數據信息返回給客戶端；

（3）客戶端根據Blocks所在地址與相應的Datanodes通信，讀取文件數據。

1.2.2 寫文件過程

（1）客戶端通過RPC向HDFS的Namenode發送文件寫請求，Namenode檢查客戶端要創建的文件是否存在，若不存在則會為文件創建一個記錄，否則拋出異常；

（2）客戶端開始寫入文件時，會將文件切分成許多Packets，然后向Namenode申請新的Blocks，獲取這些Packets及其副本所要存儲的Datanodes的一個列表；

（3）客戶端得到這些列表后，將Packet寫入第一個Datanode中，成功后第一個Datanode再將數據傳送給第二個Datanode，第二個Datanode再將數據依次寫入到第三個Datanode，至此數據寫入完成；

（4）寫完第一個Packet后，依次循環將所有的Packets寫入HDFS中。

2 HDFS安全現狀研究及不足之處

2.1 基于Kerberos的HDFS安全認證機制

Hadoop在設計之初，不僅集群實體之間缺乏認證機制，而且數據傳輸及存儲也缺乏加密機制。針對Hadoop的安全缺陷，Hadoop1.0.0版本后，引入了Kerberos認證機制，用以保證集群節點的可信性［7－8］。Kerberos是一種基于對稱密鑰體制的計算機網絡認證協議，實現了機器級別的安全認證，也就是說在非安全網絡通信環境下，某個實體可以通過Kerberos向另一個實體以一種安全的方式證明自己的身份。Kerberos的實現需要一個可信賴的第三方，這個第三方被稱為密鑰分發中心（KDC），它由兩個相互獨立的邏輯部分認證服務器（AS）和票據授權服務器（Ticket Granting Service）組成。Kerberos持有一個密鑰數據庫，用來記載每個Kerberos用戶的密鑰，這個密鑰只有Kerberos用戶和KDC知道，該密鑰可以對網絡實體與KDC的通信進行加密。而對于兩個實體間的通信，KDC會為他們產生一個臨時會話密鑰，用來加密他們之間的交互信息。

在搭建Hadoop集群時，事先對集群中確定的機器節點由管理員手動添加到Kerberos數據庫中，在KDC上分別產生KDC與各個節點的keytab文件（該文件包含了KDC和對應節點的名字，還有他們之間的密鑰等信息），然后將這些keytab分發到對應的節點上。通過這些keytab文件，節點可以實現與KDC的安全通信，進而獲得與KDC發放的與目標節點通信的臨時密鑰，最后實現被目標節點認證這一過程。

HDFS過程中基于Kerberos的認證機制如下［9－10］。

2.1.1 Client與KDC通信過程

首先，Client向KDC發送自己的身份信息，然后KDC中的Ticket Granting Service產生TGT（ticketgranting ticket），KDC將這個TGT用協議開始前Client與KDC之間的密鑰K1加密后回復給Client。此時只有真正的Client才能利用它與KDC之間的密鑰將加密后的TGT解密，從而獲得TGT（圖2）。

2.1.2 Client與Namenode通信過程

（1）Client用先前得到的TGT向KDC請求Namenode服務的Ticket；

（2）KDC中的Ticket Granting Service將為客戶端和Namenode之間生成一個Session Key，即K3用于Namenode和客戶端之間的通信，并打包生成Ticket；

圖2 Client與KDC通信過程Fig.2 Communication process of Client and KDC

（3）為了保證K3的安全性，KDC用客戶端的密鑰K1將K3加密，隨（Ticket）K2一起返回給Client，其中K2是Namenode的密鑰；

（4）Client用自己的密鑰K1將（K3）K1解密，得到K3，由于Client不知道Namenode的密鑰K2，所以它無法解密或算改Ticket中的信息；

（5）Client將自己的用戶名、IP等打包成Authenticator用K3加密后發送給Namenode，一并發給Namenode的還有（Ticket）K2；

（6）Namenode接到客戶端發來的消息后，先用自己的密鑰K2解密（Ticket）K2，得到｛K3，用戶名，IP，地址，服務名，有效期，時間戳｝這些信息。然后用得到的K3解密Authenticator＝｛（用戶名，IP）K3｝，再一次得到客戶端的用戶名和IP，比較兩次得到的用戶名和IP，若一致，則說明客戶端是真實可靠的，而并非假冒偽造，從而驗證了客戶端的身份合法性，至此Client與Namenode之間的通信認證已經完成；

（7）Client獲得了Namenode的安全認證后，Namenode向Client分發認證令牌Delegation Token，該令牌用于客戶端與Namenode間的再次識別認證。但是Delegation Token有一定的時間期效，令牌一旦過期就要重新申請。

整個過程如圖3所示。

圖3 Client與Namenode通信認證過程Fig.3 Communication authentication process of Client and Namenode

2.1.3 Client與Datanode的認證過程

認證過程基本相同，因篇幅原因不再贅述。

2.2 Kerberos的缺陷分析

2.2.1 安全性缺陷分析

客戶端及集群節點的密鑰都存儲在Kerberos的KDC密鑰數據庫中，如果一個合法的客戶端被敵手俘獲，并且攻破KDC，就能得到所有客戶端及集群節點與KDC通信的密鑰。那么它就可以冒充合法實體與KDC通信，進而得到與Hadoop集群服務器通信的臨時會話密鑰，然后對Hadoop集群服務器發起攻擊。

客戶端向KDC申請TGT時發送的身份信息不進行加密，因此這些信息存在被竊取、篡改等不安全因素。

Kerberos的認證過程中，兩個實體之間的通信采用對稱加密，消息沒有相應的校驗措施，某個惡意敵手，可能截獲消息，進而對消息進行篡改，則接收端對接收到的消息進行解密，得到一堆無意義的不正確的明文，如果敵手還知道這兩個實體的通信密鑰則可以對消息進行偽造，這時接收端收到的則是偽造的消息。所以Kerberos的認證過程不能保證兩個實體通信過程中所發送信息的完整性。

Kerberos方案中，客戶端與Datanode之間進行文件傳輸時，沒有考慮數據的加密處理，因此數據的傳輸安全沒有保障。

2.2.2 效率性缺陷分析

在Hadoop集群中搭建Kerberos環境，是一個相當麻煩的工作，通常需要花費一周的時間，其過程中又總會出現各種無法預料或難以解決的錯誤。而且Kerberos十分復雜，一旦出現故障，要花費數周來進行維修，耗費大量的人力物力。集群中任何兩個實體之間進行初次通信時都要有Kerberos的參與，這無疑降低了Hadoop集群的運作速度。

KDC成為HDFS文件系統的瓶頸。在Kerberos方案中，兩個實體的身份認證，要向Kerberos的密鑰分配中心KDC請求授權票據，而在Hadoop集群中，同一時間可能執行成千上萬的任務，如果每個任務的執行都要使用Kerberos認證，當這些任務在一個很短的時間內同時向Kerberos服務器發送票據請求時，就會使KDC陷入癱瘓危機，進而影響系統性能。

Kerberos的認證令牌具有一定有效期，因此，Hadoop集群中主機的時鐘與Kerberos服務器的時鐘兩者的時間相差不能超過10 min，否則認證就會失敗。所以在搭建Kerberos環境時，還要額外的設置網絡時間協議后臺程序來保持時鐘同步。

3 基于PKI的HDFS安全機制

3.1 PKI與CA證書

PKI的全稱是“公鑰基礎設施”，即利用公鑰理論和技術建立的安全服務基礎設施。PKI能夠為所有的網絡提供加密和數字簽名等密碼服務以及必需的密鑰和證書管理體系，因此簡單來說，PKI是一種遵循既定標準的密鑰管理平臺。

PKI的核心是CA認證中心［11－13］，PKI的一些重要功能，例如證書發放、證書更新、證書撤銷和證書驗證等都是通過CA實現的，其中的證書發放和數字證書管理是CA的核心功能，因此CA主要由注冊服務器、證書申請受理和審核機構、認證中心服務器這三部分組成。

由于PKI不僅具有良好的跨平臺性和可操作性，而且能夠提供完善的信息安全服務，因此，我們提出用基于PKI的加密、數字簽名、認證和數字信封等技術來構建HDFS的安全機制。

3.2 基于PKI的HDFS安全機制設計

3.2.1 HDFS認證的初始化

在集群為客戶提供安全服務之前，要進行安全初始化操作：首先我們要讓HDFS中的Namenode節點和Datanodes節點向CA申請合法身份證書，CA驗證了Hadoop中節點的用戶身份后，為其創建相應的公私鑰對，并為其頒發數字證書；然后我們在每個節點創建一個配置文件，用來存儲集群中所有合法節點的用戶身份信息及數字證書。

在安全初始化階段完成后，集群便可以向客戶提供安全的文件服務。

3.2.2 客戶端在Namenode上進行身份注冊與身份注銷

一個客戶端若要訪問Hadoop的HDFS服務，例如進行一些大型文件的存儲或是讀取HDFS上文件數據，那么這個客戶端必須成為Hadoop集群認證的合法客戶，所以客戶端的第一步便是向Hadoop集群進行注冊。這里我們假設客戶端已經被CA認證，并從CA處獲得了自己的數字證書。

客戶端將自己的｛用戶名，IP，地址，時間戳，［（用戶名，IP，地址，時間戳）hash］KSC｝KPN發送給Namenode進行注冊。Namenode接到客戶端發來消息后用自己的私鑰KSN進行第一步解密得到客戶端的身份信息，然后根據客戶端的身份信息，到認證中心CA下載該用戶的數字證書，將客戶端的身份信息及其數字證書寫入到自己管理的客戶配置文件中，并分發到集群中的Datanodes節點中。其中KSC為Client的私鑰，KPN為Namenode的公鑰。

當用戶不再需要Hadoop的HDFS服務，要與Hadoop徹底斷開聯系時，用戶可以執行注銷行為，則Hadoop集群中的節點將配置文件中關于客戶端的所有信息及其數字證書一并清除。

客戶端注冊過程如圖4所示。

圖4 客戶端注冊過程Fig.4 Registration process at Client side

3.2.3 Namenode與Datanode之間的通信認證過程

Hadoop集群啟動后，Namenode要通過心跳與Datanode通信，從Datanode上收集它所存儲的文件Block的元數據信息。Namenode將這些元數據信息收集來之后加載到內存之中，以便加快隨后的客戶端與Namenode的交互過程。這個安全認證過程如下：

（1）D→N：消息I1：｛文件塊信息，D的身份信息，時間戳，［（文件塊信息，用戶身份信息，時間戳）hash］KSD｝KPN。其中KSD為D的私鑰，而KPN為N的公鑰。

（2）N接到消息后，用自己的私鑰KSN解密消息，得到D的身份，然后用該D的公鑰KPD解密數字簽名得到（文件塊信息，用戶身份身份信息，時間戳）hash，然后對得到的文件塊信息和用戶身份進行hash，得到又一個數字簽名，兩者進行比較，若一致則驗證了D身份的合法性，同時也說明消息沒有被篡改。

（3）N→D：｛Responde，［（Responde）hash］KSN｝KPD。

（4）D用同樣的方法來解開N發送來的消息，確認N身份的合法性。

過程如圖5所示。

圖5 Datanode與Namenode的通信認證過程Fig.5 Communication authentication process between Datanode and Namenode

3.2.4 客戶端進行文件讀過程中的認證與加密過程

3.2.4.1 客戶端在請求文件讀服務時與Namenode的安全通信過程

（1）C→N：消息I1：｛用戶身份身份信息，文件讀服務請求，時間戳［（用戶身份信息，文件讀服務請求，時間戳）hash］KSC｝KPN。其中KSC為Client的私鑰。

（2）N接收到C發來的消息后進行解密驗證，驗證合格則將C所請求的文件所在的Datanode地址返回給C，并打包生成相應的數據訪問令牌，一并返回給C。

N→C：消息I2：｛Datanode地址，［（Datanode地址）hash］KSN｝KPC，其中KPC為C的公鑰；

數據訪問令牌（Block Access Token）：｛數據塊信息，數據訪問權限，時間期限，［（數據塊信息，數據訪問令牌，時間期限）hash］KSN｝KPD。

（3）C接到N發來的兩個消息后，解開第一條消息，得到消息中包含的Datanode地址信息。但C也無法解密，無法偽造數據訪問令牌。

上述過程如圖6所示。

圖6 客戶端與Namenode之間的通信認證過程Fig.6 Communication authentication process between Client and Namenode

客戶端得到它所請求文件所在的地址后，就可以直接與相應的Datanode通信，來獲得數據。為了使客戶端與Datanode的數據傳輸過程是安全的，我們對這個過程中傳輸的數據進行加密，為了避免非對稱加密速度緩慢的問題，我們將基于數字信封的對稱加密技術AES［12］運用到這個過程中。

3.2.4.2 客戶端與Datanode安全通信過程

（1）Client向Datanode發送數據請求前，自身先產生一段對稱密碼K；

（2）C→D：消息I1：｛（用戶身份信息，對稱密碼K，時間戳），［（用戶身份信息，對稱密碼K，時間戳）hash］KSC｝KPD；數據訪問令牌；

（3）D接收到C發過來的數據后，先解開數字令牌，驗證C數據權限，若權限合法，再解開第二條消息驗證客戶端身份并獲得對稱密碼；

（4）D→C：｛數據｝K。

過程如圖7所示。

圖7 客戶端與Datanode之間的安全通信過程Fig.7 Secure communication process between Client and Datanode

3.2.5 客戶端進行文件寫過程中的認證與加密過程

這個過程和上述文件讀過程開頭部分基本一致，只是在客戶端將數據塊寫入第一個Datanode后，第一個Datanode要繼續將文件塊寫入到第二個作為備份的Datanode節點。而后第二個節點要繼續將數據塊寫入第三個備份的Datanode節點（默認Hadoop的備份節點是3）。下面是文件寫與文件讀過程中不一樣的步驟。

（1）客戶端首先要向第一個節點Datanode1寫入數據，同樣自己先產生一段對稱密碼K；

（2）C→D1：消息I1：｛（C用戶身份，對稱密碼K，時間戳），［（用戶身份，對稱密碼K，時間戳）hash］KSC｝KPD1；｛數據｝K；

（3）D1接收到C發來的消息，解密第一條消息，驗證客戶端身份并得到對稱密碼K，然后打包消息I2：｛（D1用戶身份，對稱密碼K，時間戳），［（D1用戶身份，對稱密碼K，時間戳）hash］KSD1｝KPD2，然后將打包好的消息I1同C發送過來的｛數據｝K一起發往D2；

（4）D2將數據發往D3與上述過程一致。

過程如圖8所示。

4 本方案的安全性和效率分析

下面我們從安全性和效率性兩方面對本方案和Kerberos方案進行對比分析。

4.1 安全性分析

CA作為獨立的第三方認證機構作，并沒有像Kerberos那樣與Hadoop集群緊密聯系在一起，因此Hadoop自身的安全性不像Kerberos認證那樣依賴于這個認證機構。從客戶端的注冊過程我們可以知道，客戶端一旦注冊成功，則Hadoop集群中的每個節點都保存有它的數字證書，所以如果CA認證中心出現短暫的事故，則Hadoop集群中正在運行的作業仍然可以繼續使用CA先前頒發的數字證書，而不必立刻停掉這些作業。這相較于Kerberos是很大的一個提高。

在本文提出的認證過程中，HDFS中的兩個實體間進行消息傳遞時的數字簽名機制能夠保證所傳輸的信息的源節點認證性和完整性，這一點Kerberos無法做到。

HDFS在文件傳輸階段使用數字信封技術，客戶端產生一個對稱密鑰，并用客戶端的私鑰KSC對這個對稱密鑰進行加密，相同密鑰長度，非對稱加密發放的抗攻擊性要比其他加密方法強很多倍，這保證了對稱密鑰在傳輸過程中的安全性。而文件數據則用此對稱密鑰進行AES加密，保證了數據傳輸過程中的安全性。

HDFS的文件服務過程中，數字證書認證可產生可靠的數字簽名，使這個過程中的客戶端及服務端都對自己發送的消息數據具有不可抵賴性。而Kerberos方案則無法做到這一點。

4.2 效率分析

前面在Kerberos的缺陷分析中我們知道，Kerberos的認證環境搭建十分麻煩，且極易出錯，相比較而言Hadoop集群中節點數字證書的的申請則要快捷方便許多，CA認證中心能為客戶提供24×7不間斷的服務。

HDFS采用數字證書認證時，兩個實體通信認證的過程中只需要用到CA中心頒發的證書，而不需要CA中心的再次參與，因此即使集群中的文件任務再多，也不存在像Kerberos認證時的KDC瓶頸問題，且用數字證書的認證只有一個證書申請過程，這要比Kerberos的三步認證簡潔很多。

本文所提的方案在客戶端與Datanode進行數據傳輸階段采用對稱加密方法AES，AES的加密方法與傳統的加密方法相比具有速度快、適應性強且靈活性高等特點，從而保證了大規模數據傳輸的效率。

5 結語

Hadoop作為目前云計算的的熱門技術，有著不可限量的應用前景，而其安全問題的重要性也隨著Hadoop的推廣而愈加突出，HDFS作為Hadoop的底層存儲項目，其自身的安全也是Hadoop集群安全的基礎，本文通過分析HDFS文件服務過程中存在的認證問題及數據傳輸過程中的安全性問題，并總結目前所采用的Kerberos解決方案及其缺陷，提出了一種基于PKI的更加快捷、安全的數字證書認證機制，并在數據傳輸階段采用基于數字信封的AES對稱加密，這些措施極大地提高了HDFS的安全性和效率性。

當然本文還有一些未解決的問題，例如HDFS中的文件訪問控制策略的研究，以及Hadoop中Mapreduce中的安全機制研究等，這些都是后續需要解決的問題。

［1］皮麗華.不可盲崇拜Hadoop警惕安全性漏洞［EB/OL］.［2013－04－15］. http://tech.it168.com/a2011/1208/1285/000001285780.shtml.

［2］劉琨，李愛菊，董龍江.基于hadoop的云存儲的研究及實現［J］.微計算機信息，2011，27（7）：220－221.

［3］O＇MALLEY O，ZHANG K，RADIA S，et al.Hadoop security design［EB/OL］.［2013－04－15］. http://www.docin.com/p-663863857.html.

［4］WHITE T.Hadoop權威指南［M］.北京：清華大學出版社，2010.

［5］HOLMESA.Hadoop in practice［M］.US：Manning Publications Co.，2012.

［6］陸嘉恒.Hadoop實戰［M］.北京：機械工業出版社，2012.

［7］柴黃琪，蘇成.基于HDFS的安全機制設計［J］.計算機安全，2010（12）：22－25.

［8］馬媛.基于Hadoop的云計算平臺安全機制研究［J］.信息安全與通信保密，2012（6）：89－92

［9］BECHERER A.Hadoop security design just addkerberos？Really？［EB/OL］.［2013－04－18］. http://media.blackhat.com/bh-us-10/whitepapers/Becherer/BlackHat-USA-2010-Becherer-Andrew-Hadoop-Security-wp.pdf.

［10］The Apache Software Foundation.Service level authorization guide［EB/OL］.［2013－04－18］. http://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/ServiceLevelAuth.html＃Service_Level_Authorization_Guide.

［11］斯坦普.信息安全原理與實踐［M］.北京：清華大學出版社，2013.

［12］謝冬青.PKI原理與技術［M］.北京：清華大學出版社，2004.

［13］寧宇鵬，陳昕.PKI技術［M］.北京：機械工業出版社，2004.

PKI based HDFS authentication and secure transmission mechanism

LI Yan-gai1，2，ZHAO Hua-wei1*
（1．School of Computer Science and Technology，Shandong University of Finance and Economics，Jinan 250014，China；2．Shandong Zhongfu Information Industry Co．，Ltd．，Jinan 250101，China）

We detailedly analyze existing Kerberos scheme to solve the authentication andsecure transmission in the process of file service of Hadoop DistributedFile System（HDFS），a core sub-project of Hadoop．We then generalize the negatives of its security andefficiency．We further app ly PKI baseddig ital certificate authentication anddigital envelop based AES symmetric enc ryp tion to the security mechanism of HDFS．Analysis shows that the approach can provide a safer andmore efficient solution for HDFS service，as compared with Kerberos．

Hadoop；security of HDFS；Kerberos；PKI

TP393.08

A

1002-4026（2014）05-0033-09

10.3976／j.issn.1002－4026.2014.05.007

2014-05-21

山東省自然科學基金（ZR2011FL027）；濟南市科技發展計劃

李延改（1989－），女，碩士研究生，研究方向為信息安全。

＊通訊作者，趙華偉，副教授，博士／博士后。Email：1056846736＠qq.com