一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法和系統(tǒng)����。方法包括:將密鑰分發(fā)中心(KDC)和服務(wù)票證許可服務(wù)組件(KDC-TGS)分別集成到各個(gè)HBase服務(wù)器以形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器��,將Kerberos客戶端分別集成到各個(gè)HBase客戶端以形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證客戶端���;網(wǎng)絡(luò)安全認(rèn)證客戶端向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求���;網(wǎng)絡(luò)安全認(rèn)證服務(wù)器在驗(yàn)證通過之后����,創(chuàng)建登陸會(huì)話密鑰(lsk)和服務(wù)會(huì)話密鑰(ssk)���,向網(wǎng)絡(luò)安全認(rèn)證客戶端返回lsk和ssk���;并將lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器均可訪問的數(shù)據(jù)中心;網(wǎng)絡(luò)安全認(rèn)證客戶端利用ssk與任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器進(jìn)行請(qǐng)求交互���,被請(qǐng)求的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器根據(jù)數(shù)據(jù)中心所存儲(chǔ)的ssk對(duì)該網(wǎng)絡(luò)安全認(rèn)證客戶端進(jìn)行驗(yàn)證����。
【專利說明】一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于分布式系統(tǒng)【技術(shù)領(lǐng)域】�����,特別是一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法和 系統(tǒng)�。
【背景技術(shù)】
[0002] 隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,互聯(lián)網(wǎng)(Internet)技術(shù)在人們的日常 生活���、學(xué)習(xí)和工作中發(fā)揮的作用也越來越大����。而且����,隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展,互聯(lián)網(wǎng)也在向 移動(dòng)化發(fā)展�����。在當(dāng)今的信息時(shí)代中�,各種信息設(shè)備應(yīng)運(yùn)而生:有用于話音傳輸?shù)墓潭娫挕?移動(dòng)終端;有用于信息資源共享����、處理的服務(wù)器和個(gè)人電腦;有用于視頻數(shù)據(jù)顯示的各種 電視機(jī)等等��。這些設(shè)備都是在特定領(lǐng)域內(nèi)為解決實(shí)際需求而產(chǎn)生的�����。隨著電子消費(fèi)���、計(jì)算 機(jī)����、通信(3C)融合的到來,人們?cè)絹碓蕉嗟貙⒆⒁饬Ψ诺搅藢?duì)各個(gè)不同領(lǐng)域的信息設(shè)備進(jìn) 行綜合利用的研究上��,以充分利用現(xiàn)有資源設(shè)備來為人們更好的服務(wù)��。
[0003] 分布式系統(tǒng)(distributed system)是建立在網(wǎng)絡(luò)之上的軟件系統(tǒng)����。正是因?yàn)檐?件的特性,所以分布式系統(tǒng)具有高度的內(nèi)聚性和透明性�。因此,網(wǎng)絡(luò)和分布式系統(tǒng)之間的區(qū) 別更多的在于高層軟件(特別是操作系統(tǒng))�,而不是硬件。內(nèi)聚性是指每一個(gè)數(shù)據(jù)庫(kù)分布節(jié) 點(diǎn)高度自治��,有本地的數(shù)據(jù)庫(kù)管理系統(tǒng)����。透明性是指每一個(gè)數(shù)據(jù)庫(kù)分布節(jié)點(diǎn)對(duì)用戶的應(yīng)用 來說都是透明的,看不出是本地還是遠(yuǎn)程�����。在分布式數(shù)據(jù)庫(kù)系統(tǒng)中,用戶感覺不到數(shù)據(jù)是分 布的��,即用戶不須知道關(guān)系是否分割�、有無副本、數(shù)據(jù)存于哪個(gè)站點(diǎn)以及事務(wù)在哪個(gè)站點(diǎn)上 執(zhí)行等����。
[0004] 在目前的HBase等分布式系統(tǒng)的安全網(wǎng)絡(luò)驗(yàn)證中�,具有不易維護(hù)和不易擴(kuò)展等問 題,而且kerberos協(xié)議中具有單點(diǎn)問題����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實(shí)施方式提出一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法,以提高維護(hù)和擴(kuò)展程 度����。
[0006] 本發(fā)明實(shí)施方式提出一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng),以提高維護(hù)和擴(kuò)展程 度�����。
[0007] 本發(fā)明實(shí)施方式的技術(shù)方案如下:
[0008] -種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法���,該方法包括:
[0009] 將密鑰分發(fā)中心KDC和服務(wù)票證許可服務(wù)組件KDC-TGS分別集成到各個(gè)HBase服 務(wù)器以形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器���,將Kerberos客戶端分別集成到各個(gè)HBase客戶端以 形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證客戶端��;
[0010] 網(wǎng)絡(luò)安全認(rèn)證客戶端向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求�����;網(wǎng)絡(luò)安全認(rèn)證 服務(wù)器在驗(yàn)證通過之后�����,創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk���,向所述網(wǎng)絡(luò)安全認(rèn)證 客戶端返回所述lsk和ssk ;并將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器均可訪 問的數(shù)據(jù)中心;
[0011] 網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述ssk與任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器進(jìn)行請(qǐng)求交互�����, 被請(qǐng)求的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器根據(jù)數(shù)據(jù)中心所存儲(chǔ)的ssk對(duì)該網(wǎng)絡(luò)安全認(rèn)證客戶端進(jìn)行 驗(yàn)證���。
[0012] 所述驗(yàn)證請(qǐng)求包括:客戶端用戶名���、利用長(zhǎng)期密碼UK加密的認(rèn)證符T1以及請(qǐng)求服 務(wù)操作信息Sinfo ;
[0013] 網(wǎng)絡(luò)安全認(rèn)證服務(wù)端根據(jù)所述客戶端用戶名查詢得到長(zhǎng)期密碼UK,利用所述長(zhǎng)期 密碼UK對(duì)利用長(zhǎng)期密碼UK加密的認(rèn)證符T1進(jìn)行解密以得到認(rèn)證符T1�,并當(dāng)驗(yàn)證認(rèn)證符 T1有效時(shí)創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk��,將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò) 安全認(rèn)證服務(wù)器均可訪問的數(shù)據(jù)中心��,并向網(wǎng)絡(luò)安全認(rèn)證客戶端發(fā)送使用長(zhǎng)期密碼UK加 密的lsk���、使用lsk加密的ssk以及使用ssk加密的認(rèn)證符T1 ;
[0014] 網(wǎng)絡(luò)安全認(rèn)證客戶端利用長(zhǎng)期密碼UK解密使用長(zhǎng)期密碼UK加密的lsk,以得到 lsk ;利用lsk對(duì)使用lsk加密的ssk進(jìn)行解密以得到ssk ;利用ssk對(duì)使用ssk加密的認(rèn) 證符T1進(jìn)行解密以得到認(rèn)證符T1����,將解密得到的認(rèn)證符T1與發(fā)送驗(yàn)證請(qǐng)求中的認(rèn)證符T1 進(jìn)行對(duì)比,當(dāng)驗(yàn)證通過時(shí)確定通過安全網(wǎng)絡(luò)認(rèn)證���,并且緩存所述lsk和所述ssk。
[0015] 所述數(shù)據(jù)中心為常駐內(nèi)存表�����、關(guān)系數(shù)據(jù)庫(kù)或分布式緩存��。
[0016] 該方法進(jìn)一步包括:當(dāng)ssk有效時(shí)間到達(dá)后���,數(shù)據(jù)中心清除所保存的ssk ;
[0017] 網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述lsk向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新ssk���。
[0018] 該方法進(jìn)一步包括:當(dāng)lsk有效時(shí)間到達(dá)后����,數(shù)據(jù)中心清除所保存的lsk ;
[0019] 網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述長(zhǎng)期密碼UK向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新 ssk〇
[0020] 一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)��,該網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)包括:將密鑰分發(fā)中 心KDC和服務(wù)票證許可服務(wù)組件KDC-TGS分別集成到各個(gè)HBase服務(wù)器以形成的各個(gè)網(wǎng)絡(luò) 安全認(rèn)證服務(wù)器���;以及將Kerberos客戶端分別集成到各個(gè)HBase客戶端以形成的各個(gè)網(wǎng)絡(luò) 安全認(rèn)證客戶端�����;
[0021] 網(wǎng)絡(luò)安全認(rèn)證客戶端�����,用于向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求�����;
[0022] 網(wǎng)絡(luò)安全認(rèn)證服務(wù)器�����,用于在驗(yàn)證通過之后����,創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話 密鑰ssk,向所述網(wǎng)絡(luò)安全認(rèn)證客戶端返回所述lsk和ssk ;并將所述lsk和ssk存儲(chǔ)在各 個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器均可訪問的數(shù)據(jù)中心;
[0023] 網(wǎng)絡(luò)安全認(rèn)證客戶端��,還用于利用所述ssk與任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器進(jìn)行請(qǐng) 求交互�,被請(qǐng)求的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器,用于根據(jù)數(shù)據(jù)中心所存儲(chǔ)的ssk對(duì)該網(wǎng)絡(luò)安全認(rèn) 證客戶端進(jìn)行驗(yàn)證�。
[0024] 所述驗(yàn)證請(qǐng)求包括:客戶端用戶名、利用長(zhǎng)期密碼UK加密的認(rèn)證符T1以及請(qǐng)求服 務(wù)操作信息Sinfo ;
[0025] 網(wǎng)絡(luò)安全認(rèn)證服務(wù)端����,用于根據(jù)所述用戶名查詢得到長(zhǎng)期密碼UK,利用所述長(zhǎng)期 密碼UK對(duì)利用長(zhǎng)期密碼UK加密的認(rèn)證符T1進(jìn)行解密以得到認(rèn)證符T1���,并當(dāng)驗(yàn)證認(rèn)證符 T1有效時(shí)創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk�����,將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò) 安全認(rèn)證服務(wù)器均可訪問的數(shù)據(jù)中心,并向網(wǎng)絡(luò)安全認(rèn)證客戶端發(fā)送使用長(zhǎng)期密碼UK加 密的lsk��、使用lsk加密的ssk以及使用ssk加密的認(rèn)證符T1 ;
[0026] 網(wǎng)絡(luò)安全認(rèn)證客戶端��,用于利用長(zhǎng)期密碼UK解密使用長(zhǎng)期密碼UK加密的lsk��,以 得到lsk ;利用lsk對(duì)使用lsk加密的ssk進(jìn)行解密以得到ssk ;利用ssk對(duì)使用ssk加密 的認(rèn)證符T1進(jìn)行解密以得到認(rèn)證符T1��,將解密得到的認(rèn)證符T1與發(fā)送驗(yàn)證請(qǐng)求中的認(rèn)證 符T1進(jìn)行對(duì)比,當(dāng)驗(yàn)證通過時(shí)確定通過安全網(wǎng)絡(luò)認(rèn)證�,并且緩存所述lsk和所述ssk。
[0027] 所述數(shù)據(jù)中心為常駐內(nèi)存表���、關(guān)系數(shù)據(jù)庫(kù)或分布式緩存��。
[0028] 當(dāng)ssk有效時(shí)間到達(dá)后��,數(shù)據(jù)中心清除所保存的ssk ;網(wǎng)絡(luò)安全認(rèn)證客戶端����,進(jìn)一 步用于利用所述lsk向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新ssk���。
[0029] 當(dāng)lsk有效時(shí)間到達(dá)后�����,數(shù)據(jù)中心清除所保存的lsk ;網(wǎng)絡(luò)安全認(rèn)證客戶端�,進(jìn)一 步用于利用所述長(zhǎng)期密碼UK向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新ssk����。
[0030] 從上述技術(shù)方案可以看出,本發(fā)明的實(shí)施方式中��,將密鑰分發(fā)中心KDC和服務(wù)票 證許可服務(wù)組件KDC-TGS分別集成到各個(gè)HBase服務(wù)器以形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器, 將Kerberos客戶端分別集成到各個(gè)HBase客戶端以形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證客戶端���;網(wǎng)絡(luò)安 全認(rèn)證客戶端向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求��;網(wǎng)絡(luò)安全認(rèn)證服務(wù)器在驗(yàn)證通 過之后����,創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk��,向所述網(wǎng)絡(luò)安全認(rèn)證客戶端返回所述 lsk和ssk ;并將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器均可訪問的數(shù)據(jù)中心��;網(wǎng) 絡(luò)安全認(rèn)證客戶端利用所述ssk與任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器進(jìn)行請(qǐng)求交互����,被請(qǐng)求的網(wǎng) 絡(luò)安全認(rèn)證服務(wù)器根據(jù)數(shù)據(jù)中心所存儲(chǔ)的ssk對(duì)該網(wǎng)絡(luò)安全認(rèn)證客戶端進(jìn)行驗(yàn)證。
[0031] 本發(fā)明具有下列優(yōu)點(diǎn):
[0032] (1)����、有兩個(gè)會(huì)話密鑰的優(yōu)勢(shì):
[0033] 假如ssk過期時(shí)間為5分鐘�,當(dāng)服務(wù)端發(fā)現(xiàn)ssk失效,則告知用戶需要重新獲取 ssk���。用戶此時(shí)請(qǐng)求新ssk,此時(shí)請(qǐng)求攜帶的內(nèi)容仍然是E(lsk, Τη)和用戶名等信息��。如果 沒有l(wèi)sk�����,則需要攜帶的內(nèi)容變?yōu)椋篍(UK�,Τη)和用戶名,以及服務(wù)端信息�,以獲取得到新的 ssk。如果有l(wèi)sk且過期時(shí)間是10個(gè)小時(shí)��,即10個(gè)小時(shí)后lsk才會(huì)失效�����,才會(huì)使用自己的 用戶密碼去獲取新的會(huì)話密鑰���。如果沒有l(wèi)sk,則如ssk失效時(shí)間為5分鐘���,則每5分鐘就 會(huì)使用自己的長(zhǎng)期密鑰UK去請(qǐng)求新的會(huì)話密鑰。有個(gè)原則為:使用長(zhǎng)期密鑰加密的數(shù)據(jù)���, 盡量不要在網(wǎng)絡(luò)上傳輸�。因此,增加了 lsk��,則登陸會(huì)話密鑰失效后才會(huì)使用UK加密的數(shù)據(jù) 去請(qǐng)求新的會(huì)話密鑰����。這樣就減少了使用長(zhǎng)期密鑰加密的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)拇螖?shù)。
[0034] (2)����、防竊聽、防重演(Replay Attac)
[0035] 防竊聽:因?yàn)榉?wù)會(huì)話密鑰ssk的有效時(shí)間比較短����,如果你竊聽到用戶發(fā)出的數(shù) 據(jù),即使你將密鑰解密出來����,此時(shí)該密鑰也過期了。防重演:因?yàn)槊看卧L問使用的ssk服務(wù) 會(huì)話密鑰加密的認(rèn)證符的內(nèi)容包含有時(shí)間戳�����,如果重演��,時(shí)間戳是無效的�。
[0036] (3)、穩(wěn)定性和易擴(kuò)展維護(hù)
[0037] 穩(wěn)定性:網(wǎng)絡(luò)安全驗(yàn)證的瓶頸在于HBase表的服務(wù)的單點(diǎn)性�����,因?yàn)閿?shù)據(jù)中心的表 存儲(chǔ)在一張 HBase表中�,該表被一個(gè)RegionServer服務(wù),如果該RegionServer巖機(jī)后����,月艮 務(wù)將被中段,但是該region可以被重新分配到另一臺(tái)RegionServer上進(jìn)行服務(wù)���,并且�����, RegionServer巖機(jī)的幾率是很小的��,因?yàn)镠Base的ROOT表也是服務(wù)于一個(gè)RegionServer 上��,可以放心HBase的穩(wěn)定性�。
[0038] 易擴(kuò)展維護(hù):當(dāng)添加新的HBase服務(wù)器時(shí)����,和正常的擴(kuò)展一樣����,無需多余的操作�����。
【專利附圖】
【附圖說明】
[0039] 圖1為Kerberos的認(rèn)證原理流程圖���。
[0040] 圖2為根據(jù)本發(fā)明分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法流程圖�����。
[0041] 圖3為根據(jù)本發(fā)明分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)結(jié)構(gòu)圖��。
[0042] 圖4為根據(jù)本發(fā)明客戶端與服務(wù)端的安全網(wǎng)絡(luò)驗(yàn)證交互示意圖���。
[0043] 圖5為根據(jù)本發(fā)明更新ssl示意圖。
【具體實(shí)施方式】
[0044] 為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步 的詳細(xì)描述�����。
[0045] 為了描述上的簡(jiǎn)潔和直觀,下文通過描述若干代表性的實(shí)施方式來對(duì)本發(fā)明的方 案進(jìn)行闡述���。實(shí)施方式中大量的細(xì)節(jié)僅用于幫助理解本發(fā)明的方案。但是很明顯��,本發(fā)明的 技術(shù)方案實(shí)現(xiàn)時(shí)可以不局限于這些細(xì)節(jié)��。為了避免不必要地模糊了本發(fā)明的方案�,一些實(shí) 施方式?jīng)]有進(jìn)行細(xì)致地描述,而是僅給出了框架�����。下文中�,"包括"是指"包括但不限于","根 據(jù)……"是指"至少根據(jù)……��,但不限于僅根據(jù)……"���。由于漢語(yǔ)的語(yǔ)言習(xí)慣��,下文中沒有特 別指出一個(gè)成分的數(shù)量時(shí)�,意味著該成分可以是一個(gè)也可以是多個(gè),或可理解為至少一個(gè)���。
[0046] 本發(fā)明首先基于Kerberos協(xié)議作了修改�����,將其單點(diǎn)的服務(wù)方式改為分布式的服 務(wù)方式��,然后使用數(shù)據(jù)中心(比如HBase表)來管理會(huì)話密鑰等信息�,從而發(fā)明了一套關(guān)于 分布式系統(tǒng)(比如HBase系統(tǒng))的網(wǎng)絡(luò)安全驗(yàn)證方法���。該發(fā)明能滿足分布式系統(tǒng)對(duì)網(wǎng)絡(luò)安 全驗(yàn)證的高安全�����,高可靠����,易擴(kuò)展和維護(hù)��,且高穩(wěn)定性的高要求���。
[0047] 首先��,對(duì)Kerberos協(xié)議進(jìn)行說明�����。
[0048] 在kerberos協(xié)議中�����,有幾個(gè)角色分別是:
[0049] KDC :key distribute center,密鑰分發(fā)中心�����,向用戶提供身份認(rèn)證���,并為其分發(fā) TGT :服務(wù)許可票證和登錄會(huì)話密鑰(取名:lsk)。
[0050] KDC-TGS :KDC_ticket granting service,服務(wù)票證許可服務(wù)組件�����,向用戶分發(fā)ST 服務(wù)票證和服務(wù)會(huì)話密鑰(ssk)��。KDC和KDC-TGS可以在一個(gè)主機(jī)上����,它們共享一個(gè)數(shù)據(jù) 中心(可以是數(shù)據(jù)庫(kù)或者緩存池)�����,該數(shù)據(jù)中心存儲(chǔ)了所有用戶的長(zhǎng)期密碼(UK)以及服務(wù) (SERVER)的長(zhǎng)期密碼(SK)�,并且KDC自己的長(zhǎng)期密碼(KK)也放在數(shù)據(jù)中心����。
[0051] SERVER :向用戶提供具體的服務(wù)的服務(wù)器,需要預(yù)先在KDC中注冊(cè)�,使得KDC知道 自己的服務(wù),以及自己的長(zhǎng)期密碼(KK)��。
[0052] CLIENT :客戶端����,也需要預(yù)先在KDC中注冊(cè)。
[0053] kerberos中的密鑰和票證區(qū)別如下:
[0054] 密鑰分為長(zhǎng)期密鑰和短期會(huì)話密鑰�����,長(zhǎng)期密鑰一般是很長(zhǎng)時(shí)間段有效的����,比如用 戶的密碼可能就從來不會(huì)更改。短期會(huì)話密鑰用以在用戶和服務(wù)器(包括KDC-TGS和 SERVER)之間交互的密鑰,這種密鑰當(dāng)超過一個(gè)時(shí)間就會(huì)失效�。其中:
[0055] 用戶密碼:UK,長(zhǎng)期有效密鑰���。
[0056] KDC的密鑰:KK�����,KDC和KDC-TGS共享的長(zhǎng)期密鑰��。
[0057] SERVER的密鑰:SK��,SERVER的長(zhǎng)期密鑰。
[0058] 登陸會(huì)話密鑰:lsk�,短期密鑰,由KDC生成���,并分發(fā)給用戶�����,用戶以此密鑰與TGS交 互���。
[0059] 服務(wù)會(huì)話密鑰:ssk,短期密鑰,由TGS生成��,并響應(yīng)給用戶�����,用戶以此密鑰與 SERVER 交互����。
[0060] TGT :服務(wù)許可票證,包含lsk和用戶信息��,由KDC創(chuàng)建�����。此票證相當(dāng)于到TGS的門 票�,TGS從門票中可以獲取到1 sk,然后認(rèn)證用戶����。
[0061] ST :服務(wù)票證,包含ssk和用戶信息���,有TGS創(chuàng)建���。此票證相當(dāng)于到SERVER的門 票���。SERVER從門票中可以獲取ssk,以此認(rèn)證用戶�。
[0062] 圖1為Kerberos的認(rèn)證原理流程圖。
[0063] 如圖1所示:
[0064] 第一步:客戶端(Client)向KDC請(qǐng)求身份認(rèn)證��,需要向KDC提供三個(gè)信息:
[0065] A�����、用戶名:name ;B�、請(qǐng)求TGT所需要的服務(wù)信息:Sinfo ;C、用戶密碼加密的認(rèn)證 符(一般可為時(shí)間戳):E(UK�����,T1)��。E(UK����,T1)表示用用戶的密碼UK將認(rèn)證符即時(shí)間戳T1 加密����。
[0066] 第二步:KDC先從數(shù)據(jù)中心中根據(jù)client傳過來的name查找出client的UK�����,然 后用UK解密加密的T1 (D (UK���,T1)),如果時(shí)間戳是解密有效的�����,則身份認(rèn)證通過��,證明請(qǐng)求 的用戶沒有被冒充���。然后KDC根據(jù)用戶信息等創(chuàng)建一個(gè)登陸會(huì)話密鑰lsk����,并且創(chuàng)建一個(gè) TGT��,TGT的內(nèi)容包含了 lsk和用戶信息�����。
[0067] 第三步:身份認(rèn)證通過后,KDC響應(yīng)client,響應(yīng)內(nèi)容如下:A����、E(UK, lsk):經(jīng)過用 戶密碼UK加密的登陸會(huì)話密鑰lsk ;B、E (KK����,TGT):經(jīng)KDC的密碼KK加密的TGT。
[0068] 第四步:客戶端用戶使用自己的長(zhǎng)期密碼UK解密獲取得到lsk :即D(UK����,lsk)。并 將lsk緩存在本地��,同時(shí)將KDC傳過來的用KK加密的TGT也緩存在本地��。
[0069] 第五步:用戶向KDC-TGS請(qǐng)求服務(wù)票證ST和服務(wù)會(huì)話密鑰ssk����。請(qǐng)求攜帶的內(nèi)容 如下:A、E(lsk��,T2):使用登陸會(huì)話密鑰加密的T2 ;B����、E(KK,TGT):緩存中的使用KDC的密碼 KK加密的TGT ;C�、Sinfo :用戶想訪問的服務(wù)和服務(wù)器的名稱等。
[0070] 第六步:TGS先用與KDC共享的KDC密碼KK解密TGT���,然后從中獲取得到lsk并緩 存之����,再用lsk解密T2,驗(yàn)證時(shí)間戳是否有效�,驗(yàn)證通過則根據(jù)Sinfo信息,查看用戶是否有 訪問SERVER的權(quán)限���,如果有����,則下一步���。
[0071] 第七步:根據(jù)用戶信息等生成一個(gè)服務(wù)會(huì)話密鑰:ssk���,以及生成一個(gè)服務(wù)票證 ST(C(ssk,ST)即表示生成ssk和ST)�����,ST中包含了 ssk和用戶信息等。然后根據(jù)Sinfo找 到SERVER的長(zhǎng)效密鑰SK��。
[0072] 第八步:使用lsk加密ssk :E (lsk�,ssk),使用SK加密ST :E (SK�����,ST)�,然后將加密 后的ssk和ST響應(yīng)給client。
[0073] 第九步:用戶使用lsk解密獲取得到ssk :D (lsk, ssk)����,并將ssk緩存在本地。并 且將使用SK加密的ST也緩存在本地��。
[0074] 第十步:然后用戶向真正的服務(wù)SERVER請(qǐng)求���,攜帶內(nèi)容如下:A�����、E(ssk���,T3):使用 服務(wù)會(huì)話密鑰加密的認(rèn)證符T3 ;B、E (SK�����,ST):使用服務(wù)端的長(zhǎng)期密碼SK加密的ST��,此數(shù)據(jù) 時(shí)緩存在本地的����,用戶不知道SK。
[0075] 第十一步:服務(wù)端先使用SK解密獲取的到ST�����,然后從ST中獲取得到ssk�����,然后用 ssk解密獲取得到T3,驗(yàn)證時(shí)間戳是否有效��,驗(yàn)證通過后緩存ssk,響應(yīng)client��。
[0076] 第十二步:用ssk加密T4(也可以直接是T3)��,請(qǐng)求用戶驗(yàn)證���。
[0077] 第十三步:用戶使用ssk解密T4,驗(yàn)證時(shí)間戳是否有效�����。如果有效����,證明服務(wù)端沒 有被冒充,因?yàn)樗芙饷艿贸鯯T�����,然后獲取到ssk��,說明它是知道SK的���。
[0078] 在本發(fā)明中��,將KDC和KDC-TGS����,即身份認(rèn)證和服務(wù)認(rèn)證�����,實(shí)現(xiàn)為一種可被調(diào)用的 jar包。而且����,修改HBase的客戶端和服務(wù)端��,在網(wǎng)絡(luò)發(fā)送和接收層�����,加入認(rèn)證申請(qǐng)和響應(yīng)的 代碼��,然后在每個(gè)HBase的服務(wù)器上安裝修改后的HBase服務(wù)���。HBase的所有服務(wù)器視為一 個(gè)服務(wù)SERVER��。所有的HBase SERVER共享一張 HBase表�,表中存儲(chǔ)的是用戶名稱和密鑰 對(duì)�,以及登陸會(huì)話密鑰lsk和服務(wù)會(huì)話秘鑰ssk,定時(shí)會(huì)話密鑰失效����,并通過事務(wù)操作更新 會(huì)話密鑰。
[0079] 客戶端用戶使用自己的長(zhǎng)期密鑰UK和用戶名,發(fā)送到任意一個(gè)HBase集群的服務(wù) 器上都可以作安全權(quán)限驗(yàn)證����,驗(yàn)證通過后的短期會(huì)話密鑰存儲(chǔ)在HBase表中。然后用戶就 可以使用服務(wù)會(huì)話密鑰進(jìn)行服務(wù)的請(qǐng)求�����。服務(wù)會(huì)話密鑰過期后會(huì)從表中清除��,然后用戶再 使用自己的登陸會(huì)話密鑰申請(qǐng)新的服務(wù)會(huì)話密鑰����。服務(wù)會(huì)話密鑰的過期時(shí)間遠(yuǎn)小于登陸會(huì) 話密鑰。如果新申請(qǐng)服務(wù)會(huì)話密鑰時(shí)����,登陸會(huì)話密鑰失效,這時(shí)用戶才使用自己的長(zhǎng)期密鑰 UK去申請(qǐng)新的登陸會(huì)話密鑰和服務(wù)會(huì)話密鑰���。
[0080] 圖2為根據(jù)本發(fā)明分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法流程圖���。
[0081] 如圖2所示,該方法包括:
[0082] 步驟201 :將密鑰分發(fā)中心KDC和服務(wù)票證許可服務(wù)組件KDC-TGS分別集成到 各個(gè)HBase服務(wù)器以形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器�����,將Kerberos客戶端分別集成到各個(gè) HBase客戶端以形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證客戶端。
[0083] 步驟202 :網(wǎng)絡(luò)安全認(rèn)證客戶端向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求����;網(wǎng) 絡(luò)安全認(rèn)證服務(wù)器在驗(yàn)證通過之后,創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk���,向所述網(wǎng) 絡(luò)安全認(rèn)證客戶端返回所述lsk和ssk ;并將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò)安全認(rèn)證服 務(wù)器均可訪問的數(shù)據(jù)中心。
[0084] 步驟203 :網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述ssk與任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器進(jìn)行 請(qǐng)求交互�����,被請(qǐng)求的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器根據(jù)數(shù)據(jù)中心所存儲(chǔ)的ssk對(duì)該網(wǎng)絡(luò)安全認(rèn)證客 戶端進(jìn)行驗(yàn)證�����。
[0085] 在一個(gè)實(shí)施方式中:
[0086] 所述驗(yàn)證請(qǐng)求包括:客戶端用戶名�、利用長(zhǎng)期密碼UK加密的認(rèn)證符T1以及請(qǐng)求服 務(wù)操作信息Sinfo ;
[0087] 網(wǎng)絡(luò)安全認(rèn)證服務(wù)端根據(jù)所述客戶端用戶名查詢得到長(zhǎng)期密碼UK,利用所述長(zhǎng)期 密碼UK對(duì)利用長(zhǎng)期密碼UK加密的認(rèn)證符T1進(jìn)行解密以得到認(rèn)證符T1��,并當(dāng)驗(yàn)證認(rèn)證符 T1有效時(shí)創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk��,將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò) 安全認(rèn)證服務(wù)器均可訪問的數(shù)據(jù)中心�����,并向網(wǎng)絡(luò)安全認(rèn)證客戶端發(fā)送使用長(zhǎng)期密碼UK加 密的lsk、使用lsk加密的ssk以及使用ssk加密的認(rèn)證符T1 ;
[0088] 網(wǎng)絡(luò)安全認(rèn)證客戶端利用長(zhǎng)期密碼UK解密使用長(zhǎng)期密碼UK加密的lsk���,以得到 lsk ;利用lsk對(duì)使用lsk加密的ssk進(jìn)行解密以得到ssk ;利用ssk對(duì)使用ssk加密的認(rèn) 證符T1進(jìn)行解密以得到認(rèn)證符T1�����,將解密得到的認(rèn)證符T1與發(fā)送驗(yàn)證請(qǐng)求中的認(rèn)證符T1 進(jìn)行對(duì)比���,當(dāng)驗(yàn)證通過時(shí)確定通過安全網(wǎng)絡(luò)認(rèn)證,并且緩存所述lsk和所述ssk��。
[0089] 在一個(gè)實(shí)施方式中:
[0090] 所述數(shù)據(jù)中心為常駐內(nèi)存表����、關(guān)系數(shù)據(jù)庫(kù)或分布式緩存。
[0091] 在一個(gè)實(shí)施方式中:
[0092] 該方法進(jìn)一步包括:當(dāng)ssk有效時(shí)間到達(dá)后�,數(shù)據(jù)中心清除所保存的ssk ;
[0093] 網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述lsk向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新ssk。
[0094] 在一個(gè)實(shí)施方式中:
[0095] 該方法進(jìn)一步包括:當(dāng)lsk有效時(shí)間到達(dá)后���,數(shù)據(jù)中心清除所保存的lsk ;
[0096] 網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述長(zhǎng)期密碼UK向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新 ssk〇
[0097] 基于上述分析�����,本發(fā)明還提出了一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)�。
[0098] 圖3為根據(jù)本發(fā)明分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)結(jié)構(gòu)圖。
[0099] 如圖3所示�����,該網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)包括:將密鑰分發(fā)中心KDC和服務(wù)票證許可服務(wù) 組件KDC-TGS分別集成到各個(gè)HBase服務(wù)器以形成的各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器(比如命名 為Kserver);以及將Kerberos客戶端分別集成到各個(gè)HBase客戶端以形成的各個(gè)網(wǎng)絡(luò)安 全認(rèn)證客戶端(比如命名為KClient)���。其中HBase服務(wù)器是HBase系統(tǒng)的服務(wù)器���,可以是 HMaster,也可以是RegionServer�����。HBase客戶端為訪問HBase系統(tǒng)的客戶端�。Kerberos服 務(wù)是服務(wù)端的kerberos服務(wù)�����,包含了 KDC服務(wù)和KDC-TGS服務(wù)���,每個(gè)HBase服務(wù)器都包含 有該服務(wù)��。Kerberos客戶端是客戶端新加的一層用以請(qǐng)求安全網(wǎng)絡(luò)驗(yàn)證的kerberos訪問 客戶端�。Kerberos客戶端可以請(qǐng)求任意的Kerberos服務(wù)。
[0100] 網(wǎng)絡(luò)安全認(rèn)證客戶端�����,用于向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求����;
[0101] 網(wǎng)絡(luò)安全認(rèn)證服務(wù)器,用于在驗(yàn)證通過之后�����,創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話 密鑰ssk,向所述網(wǎng)絡(luò)安全認(rèn)證客戶端返回所述lsk和ssk ;并將所述lsk和ssk存儲(chǔ)在各 個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器均可訪問的數(shù)據(jù)中心�;
[0102] 網(wǎng)絡(luò)安全認(rèn)證客戶端,還用于利用所述ssk與任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器進(jìn)行請(qǐng) 求交互���,被請(qǐng)求的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器�,用于根據(jù)數(shù)據(jù)中心所存儲(chǔ)的ssk對(duì)該網(wǎng)絡(luò)安全認(rèn) 證客戶端進(jìn)行驗(yàn)證��。
[0103] 對(duì)于HBase��,數(shù)據(jù)中心可以是常駐內(nèi)存的一張表�。當(dāng)然也可以是關(guān)系數(shù)據(jù)庫(kù)����,也可 以是分布式緩存�����。數(shù)據(jù)中心要滿足或者基于數(shù)據(jù)中心實(shí)現(xiàn)以下接口:
[0104] 寫操作是原子性的:一個(gè)客戶寫的時(shí)候不能讓其他客戶端寫�����。
[0105] 可以定時(shí)清除內(nèi)容:lsk和ssk的定期失效��。
[0106] checkAndPut事務(wù)操作:查詢����,更改在一個(gè)事務(wù)中完成。
[0107] 這里以HBase為例:
[0108] HBase的寫操作是原子的���,對(duì)行加鎖?���?梢远〞r(shí)清除類容,通過設(shè)定表CF的TT1可 以達(dá)到效果����。HBase支持checkAndPut的原子事務(wù)操作��。
[0109] 根據(jù)HBase的特性����,設(shè)計(jì)了一張存儲(chǔ)密鑰對(duì)的HBase表��。
[0110]
【權(quán)利要求】
1. 一種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證方法�,其特征在于,該方法包括: 將密鑰分發(fā)中心KDC和服務(wù)票證許可服務(wù)組件KDC-TGS分別集成到各個(gè)HBase服務(wù)器 以形成各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器��,將Kerberos客戶端分別集成到各個(gè)HBase客戶端以形成 各個(gè)網(wǎng)絡(luò)安全認(rèn)證客戶端����; 網(wǎng)絡(luò)安全認(rèn)證客戶端向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求;網(wǎng)絡(luò)安全認(rèn)證服務(wù) 器在驗(yàn)證通過之后�����,創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk�����,向所述網(wǎng)絡(luò)安全認(rèn)證客戶 端返回所述lsk和ssk ;并將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器均可訪問的 數(shù)據(jù)中心�����; 網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述ssk與任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器進(jìn)行請(qǐng)求交互,被請(qǐng) 求的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器根據(jù)數(shù)據(jù)中心所存儲(chǔ)的ssk對(duì)該網(wǎng)絡(luò)安全認(rèn)證客戶端進(jìn)行驗(yàn)證��。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全驗(yàn)證方法���,其特征在于���,所述驗(yàn)證請(qǐng)求包括:客戶端 用戶名、利用長(zhǎng)期密碼UK加密的認(rèn)證符T1以及請(qǐng)求服務(wù)操作信息Sinfo ; 網(wǎng)絡(luò)安全認(rèn)證服務(wù)端根據(jù)所述客戶端用戶名查詢得到長(zhǎng)期密碼UK�����,利用所述長(zhǎng)期密碼 UK對(duì)利用長(zhǎng)期密碼UK加密的認(rèn)證符T1進(jìn)行解密以得到認(rèn)證符T1���,并當(dāng)驗(yàn)證認(rèn)證符T1有效 時(shí)創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk����,將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò)安全認(rèn)證 服務(wù)器均可訪問的數(shù)據(jù)中心�,并向網(wǎng)絡(luò)安全認(rèn)證客戶端發(fā)送使用長(zhǎng)期密碼UK加密的lsk�����、 使用lsk加密的ssk以及使用ssk加密的認(rèn)證符T1 ; 網(wǎng)絡(luò)安全認(rèn)證客戶端利用長(zhǎng)期密碼UK解密使用長(zhǎng)期密碼UK加密的lsk,以得到lsk ; 利用lsk對(duì)使用lsk加密的ssk進(jìn)行解密以得到ssk ;利用ssk對(duì)使用ssk加密的認(rèn)證符 T1進(jìn)行解密以得到認(rèn)證符T1�����,將解密得到的認(rèn)證符T1與發(fā)送驗(yàn)證請(qǐng)求中的認(rèn)證符T1進(jìn)行 對(duì)比�����,當(dāng)驗(yàn)證通過時(shí)確定通過安全網(wǎng)絡(luò)認(rèn)證��,并且緩存所述lsk和所述ssk�。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全驗(yàn)證方法,其特征在于�����,所述數(shù)據(jù)中心為常駐內(nèi)存 表����、關(guān)系數(shù)據(jù)庫(kù)或分布式緩存。
4. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全驗(yàn)證方法�,其特征在于,該方法進(jìn)一步包括:當(dāng)ssk 有效時(shí)間到達(dá)后���,數(shù)據(jù)中心清除所保存的ssk ; 網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述lsk向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新ssk�。
5. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全驗(yàn)證方法,其特征在于�����,該方法進(jìn)一步包括:當(dāng)lsk 有效時(shí)間到達(dá)后�����,數(shù)據(jù)中心清除所保存的lsk ; 網(wǎng)絡(luò)安全認(rèn)證客戶端利用所述長(zhǎng)期密碼UK向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新ssk�����。
6. -種分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)�����,其特征在于����,該網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)包括:將 密鑰分發(fā)中心KDC和服務(wù)票證許可服務(wù)組件KDC-TGS分別集成到各個(gè)HBase服務(wù)器以形成 的各個(gè)網(wǎng)絡(luò)安全認(rèn)證服務(wù)器;以及將Kerberos客戶端分別集成到各個(gè)HBase客戶端以形成 的各個(gè)網(wǎng)絡(luò)安全認(rèn)證客戶端�����; 網(wǎng)絡(luò)安全認(rèn)證客戶端,用于向任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求���; 網(wǎng)絡(luò)安全認(rèn)證服務(wù)器,用于在驗(yàn)證通過之后����,創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰 ssk,向所述網(wǎng)絡(luò)安全認(rèn)證客戶端返回所述lsk和ssk ;并將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng) 絡(luò)安全認(rèn)證服務(wù)器均可訪問的數(shù)據(jù)中心; 網(wǎng)絡(luò)安全認(rèn)證客戶端����,還用于利用所述ssk與任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器進(jìn)行請(qǐng)求交 互,被請(qǐng)求的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器�����,用于根據(jù)數(shù)據(jù)中心所存儲(chǔ)的ssk對(duì)該網(wǎng)絡(luò)安全認(rèn)證客 戶端進(jìn)行驗(yàn)證����。
7. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng),其特征在于����,所述驗(yàn)證請(qǐng)求包括:客戶端 用戶名、利用長(zhǎng)期密碼UK加密的認(rèn)證符T1以及請(qǐng)求服務(wù)操作信息Sinfo ; 網(wǎng)絡(luò)安全認(rèn)證服務(wù)端�����,用于根據(jù)所述用戶名查詢得到長(zhǎng)期密碼UK,利用所述長(zhǎng)期密碼 UK對(duì)利用長(zhǎng)期密碼UK加密的認(rèn)證符T1進(jìn)行解密以得到認(rèn)證符T1���,并當(dāng)驗(yàn)證認(rèn)證符T1有效 時(shí)創(chuàng)建登陸會(huì)話密鑰lsk和服務(wù)會(huì)話密鑰ssk��,將所述lsk和ssk存儲(chǔ)在各個(gè)網(wǎng)絡(luò)安全認(rèn)證 服務(wù)器均可訪問的數(shù)據(jù)中心��,并向網(wǎng)絡(luò)安全認(rèn)證客戶端發(fā)送使用長(zhǎng)期密碼UK加密的lsk�、 使用lsk加密的ssk以及使用ssk加密的認(rèn)證符T1 ; 網(wǎng)絡(luò)安全認(rèn)證客戶端�,用于利用長(zhǎng)期密碼UK解密使用長(zhǎng)期密碼UK加密的lsk,以得到 lsk ;利用lsk對(duì)使用lsk加密的ssk進(jìn)行解密以得到ssk ;利用ssk對(duì)使用ssk加密的認(rèn) 證符T1進(jìn)行解密以得到認(rèn)證符T1�����,將解密得到的認(rèn)證符T1與發(fā)送驗(yàn)證請(qǐng)求中的認(rèn)證符T1 進(jìn)行對(duì)比��,當(dāng)驗(yàn)證通過時(shí)確定通過安全網(wǎng)絡(luò)認(rèn)證�,并且緩存所述lsk和所述ssk。
8. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)����,其特征在于,所述數(shù)據(jù)中心為常駐內(nèi)存 表����、關(guān)系數(shù)據(jù)庫(kù)或分布式緩存�����。
9. 根據(jù)權(quán)利要求6所述的分布式系統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng)�,其特征在于�����,當(dāng)ssk有效時(shí) 間到達(dá)后�����,數(shù)據(jù)中心清除所保存的ssk ;網(wǎng)絡(luò)安全認(rèn)證客戶端�,進(jìn)一步用于利用所述lsk向 任意的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新ssk����。
10. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)安全驗(yàn)證系統(tǒng),其特征在于����,當(dāng)lsk有效時(shí)間到達(dá)后,數(shù) 據(jù)中心清除所保存的lsk ;網(wǎng)絡(luò)安全認(rèn)證客戶端�����,進(jìn)一步用于利用所述長(zhǎng)期密碼UK向任意 的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器更新ssk。
【文檔編號(hào)】H04L29/06GK104092702SQ201410350382
【公開日】2014年10月8日 申請(qǐng)日期:2014年7月22日 優(yōu)先權(quán)日:2014年7月22日
【發(fā)明者】唐平 申請(qǐng)人:北京京東尚科信息技術(shù)有限公司