HDFS-加密区Encryption Zone源码分析.docxVIP

Encryption zone 数据加密空间-保证数据不被非法查阅Encryption zoneHDFS Encryption zone加密空间是一种end-to-end(端到端)的加密模式。其中的加/解密过程对于客户端来说是完全透明的。数据在客户端读操作的时候被解密,当数据被客户端写的时候被加密，所以HDFS本身并不是一个主要的参与者，形象的说，在HDFS中，你看到的只是一堆加密的数据流。Encryption zone原理介绍了解HDFS数据加密空间的原理对我们使用Encryption zone有很大的帮助。Encryption zone是HDFS中的一个抽象概念，它表示在此空间的内容在写的时候会被透明的加密，同时在读的时候，被透明的解密。这就是核心所在，具体到细小的细节：1.每个encryption zone 会与每个encryption zone key相关联，而这个key就是会在创建encryption zone的时候同时被指定。2.每个encryption zone中的文件会有其唯一的data encryption key数据加密key，简称就是DEK。3.DEK不会被HDFS直接处理，取而代之的是，HDFS只处理经过加密的DEK， 就是encrypted data encryption key，缩写就是EDEK。4.客户端询问KMS服务去解密EDEK，然后利用解密后得到