CN105897764B - 一种安全认证方法、装置及系统 - Google Patents
一种安全认证方法、装置及系统 Download PDFInfo
- Publication number
- CN105897764B CN105897764B CN201610425844.XA CN201610425844A CN105897764B CN 105897764 B CN105897764 B CN 105897764B CN 201610425844 A CN201610425844 A CN 201610425844A CN 105897764 B CN105897764 B CN 105897764B
- Authority
- CN
- China
- Prior art keywords
- information
- service node
- authentification failure
- node
- finger print
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种安全认证方法,应用于包括服务节点、任务管理节点和认证管理节点的大数据平台中,服务节点获取特征信息,所述特征信息为所述服务节点根据系统运行特征产生的信息,服务节点采用预设的加密算法计算所述特征信息,并将计算结果确定为所述服务节点的指纹信息,所述指纹信息用于对所述服务节点进行安全认证,服务节点向认证管理节点发送所述指纹信息。本发明能够将大数据平台中的服务节点,根据自身运行特征所产生的动态信息和静态信息,利用预设的机密算法进行计算后生成独有的指纹信息,用于安全认证,从根本上解决大数据平台中服务节点的安全认证问题。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种安全认证方法、装置及系统。
背景技术
信息技术革命的浪潮带来了信息的爆炸性增长,各行业数据量急速膨胀,各个国家纷纷把大数据作为国家战略进行长远规划并进行技术储备。随着社会的发展,越来越多企业、政府机关将采用大数据平台存储、处理核心业务数据,其中,通信、金融、医疗等数据包含了公民大量个人隐私数据,政府机构、涉密企业等数据甚至关系着国家机密。
大数据平台通常采用分布式的架构,通过大数据平台中单个服务节点就可以推断出整个平台的架构、存储等,甚至获取整个大数据平台的数据,一旦单个服务节点被仿冒、控制,可能造成整个大数据平台的数据泄露。目前的大数据平台安全防护技术中对服务节点的认证普遍采用软件的令牌和密钥认证的机制,对防止服务节点被仿冒,以及放置服务节点的通信信息被截获方面,仍然存在不安全的因素。
如何从根本上解决大数据平台的安全认证问题,实现对大数据平台中服务节点的高级别的安全认证,是信息安全技术领域亟待解决的问题。
发明内容
本发明所要解决的技术问题是针对现有技术中所存在的上述缺陷,提供一种安全认证方法、装置及系统,用以解决现有技术中存在的大数据平台中服务节点的安全认证问题。
为实现上述目的,本发明提供一种安全认证方法,应用于包括服务节点、任务管理节点和认证管理节点的大数据平台中,所述方法包括:
服务节点获取特征信息,所述特征信息为所述服务节点根据系统运行特征产生的信息;
服务节点采用预设的加密算法计算所述特征信息,并将计算结果确定为所述服务节点的指纹信息,所述指纹信息用于对所述服务节点进行安全认证;
服务节点向认证管理节点发送所述指纹信息。
优选的,所述特征信息包括:所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生。
优选的,所述方法还包括:
服务节点接收认证管理节点广播的认证结果,所述认证结果包括认证成功或认证失败;
当所述服务节点判断出所述认证结果中认证失败的服务节点不是本服务节点时,将所述认证失败的服务节点加入黑名单,并断开与所述认证失败的服务节点的通信。
优选的,在所述服务节点接收认证管理节点广播的认证结果之后,所述方法还包括:
服务节点将认证结果中认证成功的服务节点与预存的黑名单进行比较,当所述认证成功的服务节点在黑名单中时,恢复与所述认证成功的服务节点的通信,并将所述认证结果为认证成功的服务节点从黑名单中删除。
优选的,所述认证失败包括第一认证失败或第二认证失败,所述第一认证失败包括由硬件令牌信息不同导致的认证失败,所述第二认证失败包括由特定任务信息不同导致的认证失败,所述方法还包括:
当服务节点判断出所述认证结果为所述第一认证失败时,断开与所述认证失败的服务节点的通信;
当服务节点判断出所述认证结果为所述第二认证失败时,保持与所述认证失败的服务节点的通信。
本发明还提供一种安全认证方法,应用于包括服务节点、任务管理节点和认证管理节点的大数据平台中,所述方法包括:
认证管理节点接收服务节点发送的指纹信息,所述指纹信息由所述服务节点根据特征信息采用预设的加密算法计算后得出;
认证管理节点采用与所述服务节点相同的加密算法将所述指纹信息进行解密,获取所述指纹信息中的特征信息;
认证管理节点验证所述指纹信息中的特征信息,并将验证结果确定为认证结果,所述认证结果包括认证成功或认证失败;
认证管理节点将所述认证结果进行广播。
优选的,所述认证管理节点验证所述指纹信息中的特征信息,包括:
认证管理节点向任务管理节点获取所述服务节点的特定任务信息,并对所述指纹信息中的特定任务信息进行验证;
认证管理节点根据预设的与所述服务节点相同的硬件令牌获取硬件令牌信息,并对所述指纹信息中的硬件令牌信息进行验证;
认证管理节点根据预存的所述服务节点的当前用户名和特定软件信息,对所述指纹信息中的当前用户名和特定软件信息进行验证。
优选的,所述特征信息包括:所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生。
优选的,所述认证失败包括第一认证失败或第二认证失败,所述第一认证失败包括硬件令牌信息不同导致的认证失败,所述第二认证失败包括特定任务信息不同导致的认证失败。
本发明还提供一种服务节点,包括:
特征信息模块,用于获取特征信息,所述特征信息为所述服务节点根据系统运行特征产生的信息;
指纹生成模块,用于采用预设的加密算法计算所述特征信息,并将计算结果确定为所述服务节点的指纹信息,所述指纹信息用于对所述服务节点进行安全认证;
发送模块,用于向认证管理节点发送所述指纹信息。
优选的,所述特征信息模块,具体用于获取所述特征信息,所述特征信息包括:所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生。
优选的,还包括:
第一接收模块,用于接收认证管理节点广播的认证结果,所述认证结果包括认证成功或认证失败;
判断模块,用于判断接收到的认证结果,当接收到的认证结果中认证失败的服务节点不是本服务节点时,将所述认证失败的服务节点加入黑名单,并断开与所述认证失败的服务节点的通信。
优选的,所述判断模块,还用于将认证结果中认证成功的服务节点与预存的黑名单进行比较,当所述认证成功的服务节点在黑名单中时,恢复与所述认证成功的服务节点的通信,并将所述认证结果为认证成功的服务节点从黑名单中删除。
优选的,所述判断模块,还用于判断所述认证失败为第一认证失败或第二认证失败,所述第一认证失败包括由硬件令牌信息不同导致的认证失败,所述第二认证失败包括由特定任务信息不同导致的认证失败,
当判断出所述认证结果为所述第一认证失败时,断开与所述认证失败的服务节点的通信;
当判断出所述认证结果为所述第二认证失败时,保持与所述认证失败的服务节点的通信。
本发明还提供一种认证管理节点,包括:
第二接收模块,用于接收服务节点发送的指纹信息,所述指纹信息由所述服务节点根据特征信息采用预设的加密算法计算后得出;
解密模块,用于采用与所述服务节点相同的加密算法将所述指纹信息进行解密,获取所述指纹信息中的特征信息;
验证模块,用于验证所述指纹信息中的特征信息,并将验证结果确定为认证结果,所述认证结果包括认证成功或认证失败;
广播模块,用于将将所述认证结果进行广播。
优选的,所述验证模块,具体用于向任务管理节点获取所述服务节点的特定任务信息,并对所述指纹信息中的特定任务信息进行验证;根据预设的与所述服务节点相同的硬件令牌获取硬件令牌信息,并对所述指纹信息中的硬件令牌信息进行验证;
根据预存的所述服务节点的当前用户名和特定软件信息,对所述指纹信息中的当前用户名和特定软件信息进行验证。
优选的,所述解密模块,具体用于获取所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生。
优选的,所述验证模块,具体还用于确定所述认证失败为第一认证失败或第二认证失败,所述第一认证失败包括硬件令牌信息不同导致的认证失败,所述第二认证失败包括特定任务信息不同导致的认证失败。
本发明提供一种安全认证系统,包括服务节点,任务管理节点和认证管理节点,所述服务节点为本发明提供的任一项服务节点装置,所述认证管理节点为本发明提供的任一项认证管理节点装置。
本发明所提供的安全认证方法、装置和系统,能够将大数据平台中的服务节点,根据自身运行特征所产生的动态信息和静态信息,利用预设的机密算法进行计算后生成独有的指纹信息,用于安全认证,本发明提供的认证管理节点,通过对服务节点的指纹信息认证后,向整个大数据平台进行广播,平台中所有的服务节点根据接收到的认证消息,断开与没有通过安全认证的服务节点间的通信,从根本上解决大数据平台中服务节点的安全认证问题。
附图说明
为了更清楚的说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的安全认证方法第一实施例的流程示意图;
图2为本发明提供的安全认证方法第二实施例的流程示意图;
图3为本发明提供的安全认证方法第三实施例的流程示意图;
图4为本发明提供的服务节点的结构示意图;
图5为本发明提供的认证管理节点的结构示意图;
图6为本发明提供的安全认证系统的示意图。
具体实施方式
图1为本发明提供的安全认证方法第一实施例的流程示意图,如图1所示的本发明提供的安全认证方法第一实施例的流程包括:
S101,服务节点获取特征信息,所述特征信息为所述服务节点根据系统运行特征产生的信息。
具体的,服务节点需要根据自身的运行特征获取特征信息,包括服务节点的静态信息和动态信息。
其中,静态信息包括当前用户名和特定软件信息,当前用户名为服务节点当前具有一定权限的用户名,特定软件为服务节点上用于完成特定的业务和功能的定制开发软件或装载的其他软件,特定软件一般不是整个数据平台的服务节点所共有的,且特定软件会以常驻内存的守护进程的形式运行,特定软件和当前用户名在系统初始化时会通知认证管理中心进行存储,而且不会随时变化,属于静态的特征信息。
动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,硬件令牌由于结合了服务节点的硬件特征,硬件令牌的信息也是采用加密算法周期性的产生的,其可以通过外设设备接入的方式,也可以在主板上集成硬件令牌用于高级的防护。同理,认证管理中心会设置与服务节点相同的硬件令牌,用于验证所用。所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生,分布式的大数据平台在业务运行过程中为完成某项任务,任务管理节点会根据任务的特定和平台的性能,指定部分的服务节点共同完成特定的任务,每个服务节点上运行的任务是根据需要动态变换的,由任务管理节点动态分配且保留相关特定任务信息。由此,硬件令牌信息和特定任务信息,都属于服务节点的动态特征信息。
由于服务节点将动态信息和静态信息作为其特征信息,不但可以对服务节点进行唯一的标识,而且特征信息的动态变化与大数据平台的任务分配相关,也与硬件令牌相关,能够达到很高级别的安全等级。
S102,服务节点采用预设的加密算法计算所述特征信息,并将计算结果确定为所述服务节点的指纹信息,所述指纹信息用于对所述服务节点进行安全认证。
具体的,服务节点一般采用非对称加密算法来计算所述特征信息,由于特征信息的唯一性和动态变换特性,生成的指纹信息不容易被仿冒,即使被截获,由于非对称加密算法的特性,也不容易被破获,从而能够从根本上保证服务节点安全认证的安全等级。
S103,服务节点向认证管理节点发送所述指纹信息。
具体的,服务节点完成指纹信息的生成后,向认证管理节点发送所述指纹信息,其指纹信息的生成可以是周期性的,满足周期性的安全认证的需求,也可以是根据安全认证的需求,由认证管理中心首先发起请求后,进行指纹信息的生成和发送。
本实施例所提供的安全认证方法,服务中心根据自身的运行特征,采集当前用户名和特定软件信息作为静态信息,采集硬件令牌信息和特定任务信息作为动态信息,利用非对称加密算法生成服务节点独一无二而且实时动态变换的指纹信息,用于服务节点的安全认证,被截获后破解也难以被识别仿冒,能够有效的提高整个大数据平台的安全防护水平。
图2为本发明提供的安全认证方法第二实施例的流程示意图,如图2所示的安全认证方法第二实施例的流程包括:
S201,认证管理节点接收服务节点发送的指纹信息,所述指纹信息由所述服务节点根据特征信息采用预设的加密算法计算后得出。
具体的,所述服务节点的特征信息,将特征信息进行加密计算后确定为服务节点的指纹信息等,本发明第一实施例的步骤S101和S102相同,不再赘述。
大数据平台中,所有服务节点的指纹信息发送给认证管理节点,由认证管理节点进行统一的认证和管理。
S202,认证管理节点采用与所述服务节点相同的加密算法将所述指纹信息进行解密,获取所述指纹信息中的特征信息。
具体的,认证管理节点首先需要对接收到的指纹信息进行解密,如采用了非对称加密算法,可以理解的是,如服务节点采用了认证管理节点的公钥进行加密,认证管理节点用对应的私钥进行解密计算即可,除此之外,本发明也适用其他具有保密性的加密算法。
S203,认证管理节点验证所述指纹信息中的特征信息,并将验证结果确定为认证结果,所述认证结果包括认证成功或认证失败。
具体的,认证管理节点将解密出来的服务节点的特征信息进行验证,其中的当前用户名和特定软件信息不会随时变更,在服务节点初始化的时候会发送给认证管理节点相关信息,认证管理节点会对整个大数据平台的服务节点的当前用户名和特定软件信息进行存储和管理,进行验证的时候,认证管理节点调用自身存储的这部分信息进行比对验证即可。
认证管理节点还设置有与服务节点相同的硬件令牌,与服务节点的硬件令牌同步生成相同的硬件令牌信息,用于对指纹信息解密出来的硬件令牌信息进行比对验证。
由于任务管理节点负责为所有的服务节点分配特定任务,认证管理节点需要项任务管理节点调用相关的特定任务的信息,与指纹信息解密出来的特定任务信息进行比对验证即可。
由此,认证管理节点通过与服务节点不同的方式采集到了相同的特征信息用于验证,保证整个大数据平台的安全认证的可对比性,具有更高的安全等级。
可以理解的是,每个特征参数的验证,尤其是动态信息的验证,服务节点生成指纹信息的时刻,和认证管理中心进行验证时调取相同特征信息的时刻可能是不同步的,在实际的应用中,在大数据平台中往往采用时间同步系统,本发明也只支持通过在指纹信息中携带特征信息的采集时刻等时间信息,用于消除时间不同步对动态信息对比验证的影响,具体实现方式较多,不再一一赘述。
认证管理节点根据验证结果生成认证结果,认证结果包括认证成功或认证失败。如果所有的特征信息的比对结果均相同,则为认证成功,如果有至少一个特征信息不同,为认证失败。
基于运行和管理的需求,认证管理系统可进一步的对认证结果进行细分,例如,对导致认证失败的原因进行细分,由于特定任务信息的比对不同所导致的认证结果和由于硬件令牌信息的比对不同所导致的认证结果,可以划分为两种不同类型的认证失败,可以理解的是,硬件令牌信息不同,说明服务节点已经非常不安全,而特定任务信息的不同,则可能是由于系统管理方面的问题导致,而服务节点本身还是安全的,所以,对认证失败,划分为第一认证失败或第二认证失败。
大数据平台可以制定相应的安全策略对认证失败进行管理,对硬件令牌信息的安全级别较高的特征信息不一致导致的认证失败划分为第一认证失败,对特定任务信息等特征信息不一致导致的认证失败划分为第二认证失败,以便于服务节点根据不同的认证失败消息进行不同的处理。
可以理解的是,由于特定任务信息可以考虑不止一个,也可以采用对特定任务信息或其他特征信息不一致个数的考量标准来划分不同的认证失败,例如,三个和三个以下特定任务信息不一致导致的失败属于第二认证失败,但三个以上的特定任务信息不一致导致的认证失败属于较验证的认证失败的情况,划分为第一认证失败。所有特征信息对应的安全策略可以由管理者自由制定。
S204,认证管理节点将所述认证结果进行广播。
具体的,认证管理节点对认证结果在整个大数据平台进行广播,以便于接收到的服务节点进行安全认证管理。
本发明所提供的安全管理节点,能够将服务节点发送的指纹信息进行解密后,采集相应的特征信息进行比对验证,并将验证结果生成不同的认证结果,对整个大数据平台进行广播,以使接收到认证结果的服务节点进行安全管理。由于认证管理节点从与服务节点不同的渠道重新采集特征信息,再与服务节点发送来的解密后的特征信息进行比对,能够保证整个安全认证的可靠性和不可仿造性,具有更高的安全等级。
图3为本发明提供的安全认证方法第三实施例的流程示意图,如图3所示的本发明提供的安全认证方法第三实施例的流程包括:
S301,服务节点接收认证管理节点广播的认证结果。
S302,判断是否为本节点,如是,跳至步骤S308,如否,接步骤S303。
具体的,服务节点接收到认证失败的消息后,首先需要判断认证结果中的节点是否是本节点,如是本节点的认证消息,不需要进行后续流程,直接结束。
S303,判断是否为认证失败,如是,接步骤S304,如否,跳至步骤S305。
具体的,当认证结果中的服务节点不是本服务节点时,进一步判断认证结果是认证成功还是认证失败。
S304,判断是否为第一认证失败,如是,跳至步骤S306,如否,跳至步骤S308。
具体的,认证结果为第一认证失败,本发明的实施例中,第一认证失败属于严重级别的安全认证失败,所有收到认证管理中心广播的第一认证失败的服务节点都需要断开与认证失败的服务节点间的通信,并将其加入黑名单,不再进行通信,从而保证整个大数据平台的安全。
S305,判断认证成功的节点是否在黑名单,如是,跳至步骤S307,如否,跳至步骤S308。
具体的,如认证结果为认证成功,进一步判断认证成功的节点是否在黑名单,如在黑名单中,需要回复与其的通信,并将其从黑名单中删除。
S306,断开与认证失败的服务节点的通信。
S307,恢复与认证失败的服务节点的通信,将其从黑名单中删除。
S308,结束。
本发明所提供的安全认证的第三实施例,服务节点通过接收认证管理节点广播的认证结果,断开与认证失败的服务节点之间的关系,从而阻断存在安全问题的服务节点与大数据平台中其他服务节点间的通信,保证整个大数据平台上的安全。
图4为本发明提供的服务节点的结构示意图,如图4所示的服务节点的结构包括:
第一接收模块401,用于接收认证管理节点广播的认证结果,所述认证结果包括认证成功或认证失败。
特征信息模块402,用于获取特征信息,所述特征信息为所述服务节点根据系统运行特征产生的信息;具体用于获取所述特征信息,所述特征信息包括:所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生。
指纹生成模块403,用于采用预设的加密算法计算所述特征信息,并将计算结果确定为所述服务节点的指纹信息,所述指纹信息用于对所述服务节点进行安全认证。
判断模块404,用于判断接收到的认证结果,当接收到的认证结果中认证失败的服务节点不是本服务节点时,将所述认证失败的服务节点加入黑名单,并断开与所述认证失败的服务节点的通信。还用于将认证结果中认证成功的服务节点与预存的黑名单进行比较,当所述认证成功的服务节点在黑名单中时,恢复与所述认证成功的服务节点的通信,并将所述认证结果为认证成功的服务节点从黑名单中删除。还用于判断所述认证失败为第一认证失败或第二认证失败,所述第一认证失败包括由硬件令牌信息不同导致的认证失败,所述第二认证失败包括由特定任务信息不同导致的认证失败,当判断出所述认证结果为所述第一认证失败时,断开与所述认证失败的服务节点的通信;当判断出所述认证结果为所述第二认证失败时,保持与所述认证失败的服务节点的通信。
发送模块405,用于向认证管理节点发送所述指纹信息。
本发明所提供的服务节点,根据服务节点的运行特征生成动态和静态的特征参数,经过加密计算后生成服务节点独有的指纹信息,发送给认证管理节点。当接收到认证管理节点广播的认证消息后,断开与认证失败的服务节点之间的通信。服务节点的特征信息具备动态变换的特性,能够做到真正的防伪造的安全认证。
图5为本发明提供的认证管理节点的结构示意图,如图5所示的认证管理节点包括:
第二接收模块501,用于接收服务节点发送的指纹信息,所述指纹信息由所述服务节点根据特征信息采用预设的加密算法计算后得出。
解密模块502,用于采用与所述服务节点相同的加密算法将所述指纹信息进行解密,获取所述指纹信息中的特征信息;具体用于获取所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生。
验证模块503,用于验证所述指纹信息中的特征信息,并将验证结果确定为认证结果,所述认证结果包括认证成功或认证失败;根据预存的所述服务节点的当前用户名和特定软件信息,对所述指纹信息中的当前用户名和特定软件信息进行验证。具体还用于确定所述认证失败为第一认证失败或第二认证失败,所述第一认证失败包括硬件令牌信息不同导致的认证失败,所述第二认证失败包括特定任务信息不同导致的认证失败。
广播模块504,用于将将所述认证结果进行广播。
本发明所提供的认证管理节点,接收到服务节点发送的指纹信息后,将指纹信息进行解密,并从任务管理节点等处提取此服务节点的特征信息进行比对验证,根据管理员预设的安全策略,将认证失败分为不同的级别,以便于服务节点根据认证失败的级别进行相应的操作,如断开与第一认证失败的服务节点之间的通信,使整个大数据平台的安全认证达到防伪造等很高的安全认证级别。
图6为本发明提供的安全认证系统的示意图,如图6所示的安全认证系统,采用本发明的服务节点和认证管理节点,从根本上解决大数据平台中的服务节点的安全认证问题,真正做到防伪造的安全级别。
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和实施例对本发明作进一步详细描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法、设备和系统,可以通过其它的方式实现。例如,以上所描述的设备实施例仅是是示意性的,所述功能模块的划分,仅为一种逻辑功能的划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或者一些特征可以忽略,或不执行。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种安全认证方法,应用于包括服务节点、任务管理节点和认证管理节点的大数据平台中,其特征在于,所述方法包括:
服务节点获取特征信息,所述特征信息为所述服务节点根据系统运行特征产生的信息;所述特征信息包括:所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生;
服务节点采用预设的加密算法计算所述特征信息,并将计算结果确定为所述服务节点的指纹信息,所述指纹信息用于对所述服务节点进行安全认证;
服务节点向认证管理节点发送所述指纹信息。
2.如权利要求1所述的安全认证方法,其特征在于,所述方法还包括:
服务节点接收认证管理节点广播的认证结果,所述认证结果包括认证成功或认证失败;
当所述服务节点判断出所述认证结果中认证失败的服务节点不是本服务节点时,将所述认证失败的服务节点加入黑名单,并断开与所述认证失败的服务节点的通信。
3.如权利要求2所述的安全认证方法,其特征在于,在所述服务节点接收认证管理节点广播的认证结果之后,所述方法还包括:
服务节点将认证结果中认证成功的服务节点与预存的黑名单进行比较,当所述认证成功的服务节点在黑名单中时,恢复与所述认证成功的服务节点的通信,并将所述认证结果为认证成功的服务节点从黑名单中删除。
4.如权利要求2所述的安全认证方法,其特征在于,所述认证失败包括第一认证失败或第二认证失败,所述第一认证失败包括由硬件令牌信息不同导致的认证失败,所述第二认证失败包括由特定任务信息不同导致的认证失败,所述方法还包括:
当服务节点判断出所述认证结果为所述第一认证失败时,断开与所述认证失败的服务节点的通信;
当服务节点判断出所述认证结果为所述第二认证失败时,保持与所述认证失败的服务节点的通信。
5.一种安全认证方法,应用于包括服务节点、任务管理节点和认证管理节点的大数据平台中,其特征在于,所述方法包括:
认证管理节点接收服务节点发送的指纹信息,所述指纹信息由所述服务节点根据特征信息采用预设的加密算法计算后得出;
认证管理节点采用与所述服务节点相同的加密算法将所述指纹信息进行解密,获取所述指纹信息中的特征信息;所述特征信息包括:所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生;
认证管理节点验证所述指纹信息中的特征信息,并将验证结果确定为认证结果,所述认证结果包括认证成功或认证失败;
认证管理节点将所述认证结果进行广播。
6.如权利要求5所述的安全认证方法,其特征在于,所述认证管理节点验证所述指纹信息中的特征信息,包括:
认证管理节点向任务管理节点获取所述服务节点的特定任务信息,并对所述指纹信息中的特定任务信息进行验证;
认证管理节点根据预设的与所述服务节点相同的硬件令牌获取硬件令牌信息,并对所述指纹信息中的硬件令牌信息进行验证;
认证管理节点根据预存的所述服务节点的当前用户名和特定软件信息,对所述指纹信息中的当前用户名和特定软件信息进行验证。
7.如权利要求5所述的安全认证方法,其特征在于,所述认证失败包括第一认证失败或第二认证失败,所述第一认证失败包括硬件令牌信息不同导致的认证失败,所述第二认证失败包括特定任务信息不同导致的认证失败。
8.一种服务节点,其特征在于,包括:
特征信息模块,用于获取特征信息,所述特征信息为所述服务节点根据系统运行特征产生的信息;所述特征信息包括:所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生;
指纹生成模块,用于采用预设的加密算法计算所述特征信息,并将计算结果确定为所述服务节点的指纹信息,所述指纹信息用于对所述服务节点进行安全认证;
发送模块,用于向认证管理节点发送所述指纹信息。
9.如权利要求8所述的服务节点,其特征在于,还包括:
第一接收模块,用于接收认证管理节点广播的认证结果,所述认证结果包括认证成功或认证失败;
判断模块,用于判断接收到的认证结果,当接收到的认证结果中认证失败的服务节点不是本服务节点时,将所述认证失败的服务节点加入黑名单,并断开与所述认证失败的服务节点的通信。
10.如权利要求9所述的服务节点,其特征在于:
所述判断模块,还用于将认证结果中认证成功的服务节点与预存的黑名单进行比较,当所述认证成功的服务节点在黑名单中时,恢复与所述认证成功的服务节点的通信,并将所述认证结果为认证成功的服务节点从黑名单中删除。
11.如权利要求9所述的服务节点,其特征在于:
所述判断模块,还用于判断所述认证失败为第一认证失败或第二认证失败,所述第一认证失败包括由硬件令牌信息不同导致的认证失败,所述第二认证失败包括由特定任务信息不同导致的认证失败,
当判断出所述认证结果为所述第一认证失败时,断开与所述认证失败的服务节点的通信;
当判断出所述认证结果为所述第二认证失败时,保持与所述认证失败的服务节点的通信。
12.一种认证管理节点,其特征在于,包括:
第二接收模块,用于接收服务节点发送的指纹信息,所述指纹信息由所述服务节点根据特征信息采用预设的加密算法计算后得出;
解密模块,用于采用与所述服务节点相同的加密算法将所述指纹信息进行解密,获取所述指纹信息中的特征信息;所述解密模块具体用于获取所述服务节点的静态信息和动态信息,所述服务节点的静态信息包括当前用户名和特定软件信息,所述服务节点的动态信息包括硬件令牌信息和特定任务信息,所述硬件令牌信息由所述服务节点的安全芯片以时间序列为种子周期性产生,所述特定任务信息根据任务管理节点分配给所述服务节点的任务产生;
验证模块,用于验证所述指纹信息中的特征信息,并将验证结果确定为认证结果,所述认证结果包括认证成功或认证失败;
广播模块,用于将所述认证结果进行广播。
13.如权利要求12所述的认证管理节点,其特征在于:
所述验证模块,具体用于向任务管理节点获取所述服务节点的特定任务信息,并对所述指纹信息中的特定任务信息进行验证;根据预设的与所述服务节点相同的硬件令牌获取硬件令牌信息,并对所述指纹信息中的硬件令牌信息进行验证;
根据预存的所述服务节点的当前用户名和特定软件信息,对所述指纹信息中的当前用户名和特定软件信息进行验证。
14.如权利要求12所述的认证管理节点,其特征在于:
所述验证模块,具体还用于确定所述认证失败为第一认证失败或第二认证失败,所述第一认证失败包括硬件令牌信息不同导致的认证失败,所述第二认证失败包括特定任务信息不同导致的认证失败。
15.一种安全认证系统,包括服务节点,任务管理节点和认证管理节点,其特征在于:
所述服务节点为如权利要求8-11任一项所述的服务节点,所述认证管理节点为如权利要求12-14任一项所述的认证管理节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610425844.XA CN105897764B (zh) | 2016-06-15 | 2016-06-15 | 一种安全认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610425844.XA CN105897764B (zh) | 2016-06-15 | 2016-06-15 | 一种安全认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105897764A CN105897764A (zh) | 2016-08-24 |
| CN105897764B true CN105897764B (zh) | 2019-08-30 |
Family
ID=56731168
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610425844.XA Active CN105897764B (zh) | 2016-06-15 | 2016-06-15 | 一种安全认证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105897764B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020252753A1 (zh) * | 2019-06-20 | 2020-12-24 | 深圳市网心科技有限公司 | 区块链节点设备及其认证方法、装置、存储介质 |
| CN114417306A (zh) * | 2022-01-04 | 2022-04-29 | 北京金山云网络技术有限公司 | 数据处理方法、装置、电子设备及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852149A (zh) * | 2005-09-20 | 2006-10-25 | 华为技术有限公司 | 一种网络管理系统中对网元服务器进行认证的方法 |
| CN102378165A (zh) * | 2010-08-16 | 2012-03-14 | 中兴通讯股份有限公司 | 演进型节点b的身份认证方法及系统 |
| EP2417789B1 (en) * | 2009-04-07 | 2014-07-30 | Togewa Holding AG | Method and system for authenticating a network node in a uam-based wlan network |
-
2016
- 2016-06-15 CN CN201610425844.XA patent/CN105897764B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852149A (zh) * | 2005-09-20 | 2006-10-25 | 华为技术有限公司 | 一种网络管理系统中对网元服务器进行认证的方法 |
| EP2417789B1 (en) * | 2009-04-07 | 2014-07-30 | Togewa Holding AG | Method and system for authenticating a network node in a uam-based wlan network |
| CN102378165A (zh) * | 2010-08-16 | 2012-03-14 | 中兴通讯股份有限公司 | 演进型节点b的身份认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105897764A (zh) | 2016-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106961336B (zh) | 一种基于sm2算法的密钥分量托管方法和系统 | |
| CN106357396B (zh) | 数字签名方法和系统以及量子密钥卡 | |
| CN102647461B (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
| Syta et al. | Keeping authorities" honest or bust" with decentralized witness cosigning | |
| CN111448779B (zh) | 用于混合秘密共享的系统、设备和方法 | |
| Zhou et al. | APSS: Proactive secret sharing in asynchronous systems | |
| EP4318286A1 (en) | Secure multi-party computation | |
| CN105553654B (zh) | 密钥信息处理方法和装置、密钥信息管理系统 | |
| TW201812630A (zh) | 區塊鏈身份系統 | |
| Delavar et al. | PUF‐based solutions for secure communications in Advanced Metering Infrastructure (AMI) | |
| CN101359991A (zh) | 基于标识的公钥密码体制私钥托管系统 | |
| CN110519046A (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| CN108683501A (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| Nirmala et al. | Data confidentiality and integrity verification using user authenticator scheme in cloud | |
| CN113067823B (zh) | 邮件用户身份认证和密钥分发方法、系统、设备及介质 | |
| CN105681470A (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
| CN105162808A (zh) | 一种基于国密算法的安全登录方法 | |
| CN106713236A (zh) | 一种基于cpk标识认证的端对端身份认证及加密方法 | |
| CN109150536A (zh) | 代理签名方法和系统、以及智能合约的执行方法 | |
| CN109714175A (zh) | 存证方法、取证方法及存证系统 | |
| CN106127081B (zh) | 公开可验证的数据容错安全存储方法 | |
| CN110380859A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统 | |
| CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、系统及电子设备 | |
| CN109728905A (zh) | 基于非对称密钥池的抗量子计算mqv密钥协商方法和系统 | |
| CN105897764B (zh) | 一种安全认证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |