CN108769056B - 一种单点登录方法、装置及系统 - Google Patents
一种单点登录方法、装置及系统 Download PDFInfo
- Publication number
- CN108769056B CN108769056B CN201810618070.1A CN201810618070A CN108769056B CN 108769056 B CN108769056 B CN 108769056B CN 201810618070 A CN201810618070 A CN 201810618070A CN 108769056 B CN108769056 B CN 108769056B
- Authority
- CN
- China
- Prior art keywords
- random number
- authentication
- server
- user side
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种单点登录方法、装置及系统,通过在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将其发送至用户端,以便用户端根据该盲因子产生随机数认证信息,并将该随机数认证信息反馈至认证服务器进行认证,进而在认证服务器通过脱盲处理获得待认证数据后,判断其与目标随机数是否满足预设条件,并在判断出两者满足预设条件时,发送认证票据到用户端,以完成身份认证;可见,认证服务器与用户端之间使用加盲处理后获得的盲因子进行交互认证,增加了传输过程中随机数的复杂度,进而有效降低了受到外界重放攻击的概率,提高了身份认证的安全性。
Description
技术领域
本发明涉及互联网信息传播领域,更具体的说,是涉及一种单点登录方法、装置及系统。
背景技术
Hadoop分布式文件系统(Hadoop Distributed File System,HDFS)与传统的分布式文件系统相比,具有高容错性、高吞吐率、可配置性低等优点,逐渐成为当今云平台下最重要的分布式文件存储系统之一。
Hadoop分布式文件系统作为一个数据存储系统,需要设置认证机制,用于识别用户身份,以阻止恶意用户的非法访问,进而保护其内存储的隐私数据的安全。由于Hadoop分布式文件系统会将数据以副本的形式存储到多个数据节点上,导致用户需要进行多次认证才能顺利访问数据,因此,采用单点登录方式来简化用户登录时所需的认证过程。
目前,现有的单点登录方法主要是用户与认证服务器之间的交互认证,具体认证过程为:用户端向认证服务器发送登录请求,认证服务器发送随机数到用户端,以便用户端通过输入该随机数,从认证服务器获取认证票据,以完成身份认证。然而,认证服务器在将随机数发送到用户端的过程中,随机数极易被非法用户拦截并解密,进而降低了身份认证的安全性。
发明内容
有鉴于此,本发明提供了一种单点登录方法、装置、系统及服务器,增加了传输过程中随机数的复杂度,进而提高了身份认证的安全性。
为实现上述目的,本发明提供如下技术方案:
一种单点登录方法,应用于认证服务器,包括:
在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将所述盲因子发送到所述用户端;
接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private KeyGenerator,PKG)产生;
判断所述待认证数据与所述目标随机数是否满足预设条件;
若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端。
优选地,所述在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,包括:
在接收到用户端发送的登录请求信息时,将所述目标随机数与预设质数相乘,获得所述盲因子,所述目标随机数与所述预设质数满足费马小定理公式。
优选地,所述对所述随机数认证信息进行脱盲处理,获得待认证随机数,包括:
利用所述共享密钥,对所述随机数认证信息进行解密处理,获得解密后的随机数认证信息;
对所述目标随机数进行求逆运算,获得计算结果;
将所述解密后的随机数认证信息与所述计算结果相乘,获得所述待认证数据;
相应的,所述判断所述待认证数据与所述目标随机数是否满足预设条件具体为:判断所述待认证数据与所述目标随机数是否满足所述费马小定理公式。
优选地,所述若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端,包括:
若所述待认证数据与所述目标随机数满足所述预设条件,利用所述共享密钥对所述认证票据进行加密,并将加密后的认证票据发送到所述用户端。
优选地,所述在接收到用户端发送的登录请求信息之后,还包括:
计算服务器当前访问量;
判断所述服务器当前访问量是否达到服务器最大访问量;
若所述服务器当前访问量达到所述服务器最大访问量,将所述登录请求信息转发到备用服务器;
若所述服务器当前访问量未达到所述服务器最大访问量,返回执行所述对目标随机数进行加盲处理,获得盲因子。
一种单点登录装置,应用于认证服务器,包括:
加盲处理模块,用于在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子;
第一发送模块,用于将所述盲因子发送到所述用户端;
脱盲处理模块,用于接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行解密处理和脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private KeyGenerator,PKG)产生;
判断模块,用于判断所述待认证数据与所述目标随机数是否满足预设条件;
第二发送模块,用于若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端。
优选地,所述加盲处理模块包括:
加盲处理单元,用于在接收到用户端发送的登录请求信息时,将所述目标随机数与预设质数相乘,获得所述盲因子,所述目标随机数与所述预设质数满足费马小定理公式。
优选地,所述脱盲处理模块包括:
解密单元,用于利用所述共享密钥,对所述随机数认证信息进行解密处理,获得解密后的随机数认证信息;
求逆运算单元,用于对所述目标随机数进行求逆运算,获得计算结果;
相乘单元,用于将所述解密后的随机数认证信息与所述计算结果相乘,获得所述待认证数据;
相应的,所述判断模块,还用于判断所述待认证数据与所述目标随机数是否满足所述费马小定理公式。
一种单点登录系统,包括:认证服务器和用户端;
所述认证服务器,用于在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将所述盲因子发送到所述用户端,接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private Key Generator,PKG)产生,判断所述待认证数据与所述目标随机数是否满足预设条件,若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端;
所述用户端,用于发送所述登录请求信息到所述认证服务器,从所述认证服务器接收所述盲因子,并利用所述共享密钥对所述盲因子进行加密处理,获得所述随机数认证信息,发送所述随机数认证信息到所述认证服务器,以及从所述认证服务器接收所述认证票据。
优选地,所述单点登录系统还包括:NameNode服务器;
所述用户端,还用于在从所述认证服务器接收所述认证票据之后,发送所述认证票据到所述NameNode服务器;
所述NameNode服务器,用于接收所述认证票据,并判断所述认证票据是否合法,若所述认证票据合法,发送读取数据票据到所述用户端。
优选地,所述单点登录系统还包括:DataNode服务器;
所述用户端,还用于在从所述NameNode服务器接收到所述读取数据票据之后,发送所述读取数据票据到所述DataNode服务器;
所述DataNode服务器,用于接收所述读取数据票据,并判断所述读取数据票据是否合法,若所述读取数据票据合法,发送对应所述读取数据票据的数据到所述用户端。
优选地,所述单点登录系统还包括:备用DataNode服务器,所述备用DataNode服务器与所述用户端之间的网络距离大于所述DataNode服务器与所述用户端之间的网络距离;
所述DataNode服务器,还用于若所述读取数据票据合法,发送无法服务信息到所述用户端;
所述用户端,还用于在接收到所述无法服务信息后,发送所述读取数据票据到所述备用DataNode服务器;
所述备用DataNode服务器,用于在接收到所述读取数据票据之后,发送对应所述读取数据票据的数据到所述用户端,并发送正在服务信息到所述DataNode服务器。
优选地,所述备用DataNode服务器还用于:
接收所述DataNode服务器发送的服务功能恢复信息,并将所述服务功能恢复信息转发到所述用户端。
经由上述的技术方案可知,与现有技术相比,本发明提供了一种单点登录方法、装置及系统,通过在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将其发送至用户端,以便用户端根据该盲因子产生随机数认证信息,并将该随机数认证信息反馈至认证服务器进行认证,进而在认证服务器通过脱盲处理获得待认证数据后,判断其与目标随机数是否满足预设条件,并在判断出两者满足预设条件时,发送认证票据到用户端,以完成身份认证;可见,认证服务器与用户端之间使用加盲处理后获得的盲因子进行交互认证,增加了传输过程中随机数的复杂度,进而有效降低了受到外界重放攻击的概率,提高了身份认证的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种单点登录方法的方法流程图;
图2为本发明实施例提供的另一种单点登录方法的方法流程图;
图3为本发明实施例提供的另一种单点登录方法的方法流程图;
图4为本发明实施例提供的一种单点登录装置的结构示意图;
图5为本发明实施例提供的另一种单点登录装置的结构示意图;
图6为本发明实施例提供的一种单点登录系统的结构示意图;
图7为本发明实施例提供的另一种单点登录系统的结构示意图;
图8为本发明实施例提供的另一种单点登录系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种单点登录方法,应用于认证服务器,请参见附图1,所述方法具体包括以下步骤:
S101:在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将所述盲因子发送到所述用户端;
具体的,登录请求信息是指用户端想要登录Hadoop分布式文件系统(HadoopDistributed File System,HDFS)而向认证服务器发送的用于认证身份的请求信息。
目标随机数可以是预置的一个随机数。对目标随机数进行加盲处理,并将加盲处理后获得的盲因子发送至用户端,可以对目标随机数进行保护,从而增加了外界在网络传输过程中获取到目标随机数的难度,有效提高了身份认证的安全性。
S102:接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(PrivateKey Generator,PKG)产生;
具体的,用户端与认证服务器之间是交互认证的,因此,在认证服务器发送盲因子到用户端之后,用户端会利用共享密钥对接收到的盲因子进行加密,从而生成随机数认证信息,再将该随机数认证信息发送给认证服务器进行用户是否合法的相关认证。其中,用户端用于加密的共享密钥是私钥生成器(Private Key Generator,PKG)预先产生,并发送给用户端的。
认证服务器对接收到的随机数认证信息进行脱盲处理,能够精确的还原出待认证随机数,以便获知当前经过脱盲处理获得的待认证随机数是否与目标随机数一致,同时在随机数认证信息通过网络传输到认证服务器的过程中遭遇外界重放攻击时,由于外界无法获知认证服务器的脱盲处理过程,而有效降低了外界获得待认证随机数的机率,进一步确保了身份认证的安全性。
S103:判断所述待认证数据与所述目标随机数是否满足预设条件,若是,则执行S104,若否,则执行S105。
S104:发送认证票据到所述用户端;
具体的,在判断出脱盲处理所获得的待认证数据与目标随机数满足预设条件时,证明用户端属于合法访问用户,可发送认证票据到该用户端,以便用户端利用认证票据访问Hadoop分布式文件系统(Hadoop Distributed File System,HDFS)。
S105:结束;
具体的,在判断出脱盲处理所获得的待认证数据与目标随机数不满足预设条件时,证明用户端属于非法访问用户,此时结束本次身份认证操作。
本发明实施例所公开的一种单点登录方法,应用于认证服务器,通过在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将其发送至用户端,以便用户端根据该盲因子产生随机数认证信息,并将该随机数认证信息反馈至认证服务器进行认证,进而在认证服务器通过脱盲处理获得待认证数据后,判断其与目标随机数是否满足预设条件,并在判断出两者满足预设条件时,发送认证票据到用户端,以完成身份认证;可见,认证服务器与用户端之间使用加盲处理后获得的盲因子进行交互认证,增加了传输过程中随机数的复杂度,进而有效降低了受到外界重放攻击的概率,提高了身份认证的安全性。
可选的,在上述附图1所对应实施例中S103:判断出所述待认证数据与所述目标随机数满足预设条件之后,还包括:
利用所述共享密钥对所述认证票据进行加密,并将加密后的认证票据发送到所述用户端。
本发明实施例中,通过利用共享密钥对认证票据进行加密,可以进一步提高认证票据在网络传输过程中的安全性,进而确保用户端能够顺利接收认证票据,以便利用认证票据访问Hadoop分布式文件系统(Hadoop Distributed File System,HDFS)。
在上述附图1所对应实施例的基础上,本发明实施例公开了另一种单点登录方法,应用于认证服务器,请参见附图2,所述方法具体包括以下步骤:
S201:在接收到用户端发送的登录请求信息时,将所述目标随机数与预设质数相乘,获得所述盲因子,并将所述盲因子发送到所述用户端,所述目标随机数与所述预设质数满足费马小定理公式;
举例说明,目标随机数为“a”,预设质数为“P”,则对目标随机数为“a”进行加盲处理,从而获得加盲因子“Q=a×P”。其中,目标随机数“a”与预设数据“p”满足费马小定理公式,即“ap-1=1(modp)”。
S202:接收所述用户端发送的随机数认证信息,并利用所述共享密钥,对所述随机数认证信息进行解密处理,获得解密后的随机数认证信息;
具体的,由于随机数认证信息是由用户端利用共享密钥对盲因子加密所生成的,因此认证服务器需要先利用共享密钥对随机数认证信息进行解密。其中,认证服务器内的共享密钥是私钥生成器(Private Key Generator,PKG)预先产生,并发送给认证服务器的,从而增加了认证服务器与用户端之间传输信息的安全性。
S203:对所述目标随机数进行求逆运算,获得计算结果;
仍以目标随机数“a”为例进行具体阐述,基于费马小定理可知:ap-1=1(modp),那么对目标随机数“a”进行求逆运算,获得的计算结果为“a-1”,且“a-1=ap-2”。
S204:将所述解密后的随机数认证信息与所述计算结果相乘,获得所述待认证数据;
具体的,若用户端为合法用户,则解密后的随机数认证信息即为认证服务器发送的盲因子,此时将解密后的随机数认证信息与计算结果相乘,可以确保还原出的待认证数据与目标随机数仍满足费马小定理公式。
仍以计算结果为“a-1”为例进行具体阐述,令计算结果“a-1”与解密后的随机数认证信息“Q=a×P”相乘,可以还原得到待认证随机数“p”,此时,待认证随机数“p”与目标随机数“a”满足费马小定理公式,即“ap-1=1(modp)”。
S205:判断所述待认证数据与所述目标随机数是否满足所述费马小定理公式,若是,则执行S206,若否,则执行S207。
S206:发送认证票据到所述用户端;
具体的,在判断出待认证数据与目标随机数满足费马小定理公式时,证明用户端属于合法访问用户,可发送认证票据到该用户端,以便用户端利用认证票据访问Hadoop分布式文件系统(Hadoop Distributed File System,HDFS)。
S207:结束;
具体的,在判断出待认证数据与目标随机数不满足费马小定理公式时,证明用户端属于非法访问用户,此时结束本次身份认证操作。
以上步骤S202~步骤S204仅仅是本发明实施例公开的“对所述随机数认证信息进行脱盲处理,获得待认证随机数”过程的一种优选的实现方式,有关此过程的具体实现方式可根据实际需求任意设置,在此不做限定。
本发明实施例所公开的一种单点登录方法,应用于认证服务器,通过在接收到用户端发送的登录请求信息时,将目标随机数与预设质数相乘,获得盲因子,并将其发送至用户端,以便用户端根据该盲因子产生随机数认证信息,并将该随机数认证信息反馈至认证服务器进行认证,进而在认证服务器依次通过解密处理、求逆运算以及相乘运算获得待认证数据后,判断其与目标随机数是否满足费马小定理公式,并在判断出两者满足费马小定理公式时,发送认证票据到用户端,以完成身份认证;可见,认证服务器与用户端之间基于费马小定理公式进行加盲处理和脱盲处理,可以在确保传输过程中目标随机数安全的前提下,提高了运算效率,进而提升了身份认证效率。
在上述附图1所对应实施例的基础上,本发明实施例公开了另一种单点登录方法,应用于认证服务器,请参见附图3,所述方法具体包括以下步骤:
S301:在接收到用户端发送的登录请求信息时,计算服务器当前访问量;
具体的,由于认证服务器可以同时接收多个用户端发送的登录请求信息,因此认证服务器需要实时对其当前接收到的访问量进行计算,避免因访问量过大而出现系统崩溃现象。
S302:判断所述服务器当前访问量是否达到服务器最大访问量,若否,则执行S303,若是,则执行S304;
具体的,服务器最大访问量可以根据实际所采用的认证服务器的最大访问量而设置。
S303:对目标随机数进行加盲处理,获得盲因子,并将所述盲因子发送到所述用户端,并执行S305。
S304:将所述登录请求信息转发到备用服务器;
具体的,在判断出服务器当前访问量达到服务器最大访问量时,将当前接收到的登录请求信息转发给备用服务器,进而由备用服务器继续完成相关的身份认证操作。
需要说明的是,备用服务器的个数可以是一个或多个。
S305:接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private Key Generator,PKG)产生,并执行S306。
S306:判断所述待认证数据与所述目标随机数是否满足预设条件,若是,则执行S307,若否,则执行S308。
S307:发送认证票据到所述用户端;
S308:结束。
本发明实施例所公开的一种单点登录方法,应用于认证服务器,通过在接收到用户端发送的登录请求信息之后,计算服务器当前访问量,并在判断出服务器当前访问量达到服务器最大访问量时,将接收到的登录请求信息转发到备用服务器进行处理;可见,在认证服务器的服务器当前访问量达到服务器最大访问量时,利用备用服务器接替认证服务器继续执行身份认证操作,可以有效避免因认证服务器的当前访问量过大而导致系统崩溃的现象出现。
本发明实施例公开了一种单点登录装置,应用于认证服务器,请参见附图4,包括:
加盲处理模块401,用于在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子;
第一发送模块402,用于将所述盲因子发送到所述用户端;
脱盲处理模块403,用于接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行解密处理和脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private KeyGenerator,PKG)产生;
判断模块404,用于判断所述待认证数据与所述目标随机数是否满足预设条件;
第二发送模块405,用于若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端。
本发明实施例所公开的一种单点登录装置,应用于认证服务器,通过加盲处理模块401在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并由第一发送模块402将其发送至用户端,以便用户端根据该盲因子产生随机数认证信息,并将该随机数认证信息反馈至认证服务器进行认证,进而在脱盲处理模块403通过脱盲处理获得待认证数据后,判断模块404判断其与目标随机数是否满足预设条件,并在判断出两者满足预设条件时,第二发送模块405发送认证票据到用户端,以完成身份认证;可见,认证服务器与用户端之间使用加盲处理后获得的盲因子进行交互认证,增加了传输过程中随机数的复杂度,进而有效降低了受到外界重放攻击的概率,提高了身份认证的安全性。
本发明实施例提供的各个模块的工作过程,请参照附图1所对应的方法流程图,具体工作过程不再赘述。
在上述附图4所对应实施例的基础上,本发明实施例公开了另一种单点登录装置,应用于认证服务器,请参见附图5,包括:
加盲处理模块401,第一发送模块402,脱盲处理模块403,判断模块404,第二发送模块405;
其中,所述加盲处理模块401包括:
加盲处理单元4011,用于在接收到用户端发送的登录请求信息时,将所述目标随机数与预设质数相乘,获得所述盲因子,所述目标随机数与所述预设质数满足费马小定理公式。
所述脱盲处理模块403包括:
解密单元4031,用于利用所述共享密钥,对所述随机数认证信息进行解密处理,获得解密后的随机数认证信息;
求逆运算单元4032,用于对所述目标随机数进行求逆运算,获得计算结果;
相乘单元4033,用于将所述解密后的随机数认证信息与所述计算结果相乘,获得所述待认证数据;
相应的,所述判断模块404,还用于判断所述待认证数据与所述目标随机数是否满足所述费马小定理公式。
本发明实施例所公开的一种单点登录装置,应用于认证服务器,通过加盲处理单元4011在接收到用户端发送的登录请求信息时,将目标随机数与预设质数相乘,获得盲因子,并由第一发送模块402将其发送至用户端,以便用户端根据该盲因子产生随机数认证信息,并将该随机数认证信息反馈至认证服务器进行认证,进而由脱盲处理模块403中的解密单元4031、求逆运算单元4032和相乘单元4033分别进行解密处理、求逆运算以及相乘运算,以获得待认证数据,之后判断模块404判断待认证数据与目标随机数是否满足费马小定理公式,并在判断出两者满足费马小定理公式时,由第二发送模块405发送认证票据到用户端,以完成身份认证;可见,认证服务器与用户端之间基于费马小定理公式进行加盲处理和脱盲处理,可以在确保传输过程中目标随机数安全的前提下,提高了运算效率,进而提升了身份认证效率。
本发明实施例提供的各个模块的工作过程,请参照附图2所对应的方法流程图,具体工作过程不再赘述。
本发明实施例公开了一种单点登录系统,请参见附图6,包括:认证服务器501和用户端502;
所述认证服务器501,用于在接收到用户端502发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将所述盲因子发送到所述用户端502,接收所述用户端502发送的随机数认证信息,并对所述随机数认证信息进行脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端502利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private Key Generator,PKG)产生,判断所述待认证数据与所述目标随机数是否满足预设条件,若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端502;
所述用户端502,用于发送所述登录请求信息到所述认证服务器501,从所述认证服务器501接收所述盲因子,并利用所述共享密钥对所述盲因子进行加密处理,获得所述随机数认证信息,发送所述随机数认证信息到所述认证服务器501,以及从所述认证服务器501接收所述认证票据。
本发明实施例中,通过认证服务器501在接收到用户端502发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将该盲因子发送到用户端502,之后用户端502利用共享密钥对接收到的盲因子进行加密处理,获得随机数认证信息,并将该随机数认证信息发送给认证服务器501,以便认证服务器501对反馈回来的随机数认证信息进行脱盲处理,获得待认证数据,并在判断出待认证数据与目标随机数满足预设条件时,发送认证票据到用户端502,从而完成了认证服务器501与用户端502之间的身份认证。
本发明实施例所公开的一种单点登录系统,通过认证服务器501与用户端502之间使用加盲处理后获得的盲因子进行交互认证,增加了传输过程中随机数的复杂度,进而有效降低了受到外界重放攻击的概率,提高了身份认证的安全性。
在上述附图6所对应实施例的基础上,本发明实施例公开了另一种单点登录系统,请参见附图7,包括:认证服务器501,用户端502,NameNode服务器503和DataNode服务器504;
其中,所述用户端502,还用于在从所述认证服务器501接收所述认证票据之后,发送所述认证票据到所述NameNode服务器503;
所述NameNode服务器503,用于接收所述认证票据,并判断所述认证票据是否合法,若所述认证票据合法,发送读取数据票据到所述用户端502;
所述用户端502,还用于在从所述NameNode服务器接收到所述读取数据票据之后,发送所述读取数据票据到所述DataNode服务器504;
所述DataNode服务器504,用于接收所述读取数据票据,并判断所述读取数据票据是否合法,若所述读取数据票据合法,发送对应所述读取数据票据的数据到所述用户端502。
本发明实施例中,通过用户端502发送认证票据到NameNode服务器503,使NameNode服务器503利用接收到的认证票据从其内注册存储的多个DataNode服务器504中进行检索,从而确定出包含该认证票据所对应数据的DataNode服务器504,进而将包含确定出的DataNode服务器504相关信息的读取数据票据发送给用户端502,以便用户端502通过转发接收到的读取数据票据到对应的DataNode服务器504,来成功从该DataNode服务器504获取所需的数据。
需要说明的是,DataNode服务器504预先在NameNode服务器503内进行注册,此时NameNode服务器503会分配给进行注册的DataNode服务器504一个永久存储标识,以便NameNode服务器503在接收到认证票据后,利用存储标识检索出对应认证票据的DataNode服务器504。其中,DataNode服务器504的个数可以是一个或多个。
NameNode服务器503发送给用户端502的读取数据票据可以是依据DataNode服务器504的存储标识而生成的相关信息。
本发明实施例所公开的一种单点登录系统,通过NameNode服务器503为用户端502提供读取数据票据,以便用户端502快速访问与该读取数据票据对应的DataNode服务器504获取所需的数据,在确保成功访问Hadoop分布式文件系统的基础上,节省了系统中的通信带宽和计算开销。
在上述附图7所对应实施例的基础上,本发明实施例公开了另一种单点登录系统,请参见附图8,包括:认证服务器501,用户端502,NameNode服务器503,DataNode服务器504和备用DataNode服务器505;所述备用DataNode服务器505与所述用户端502之间的网络距离大于所述DataNode服务器504与所述用户端502之间的网络距离;
其中,所述DataNode服务器504,还用于若所述读取数据票据合法,发送无法服务信息到所述用户端502;
所述用户端502,还用于在接收到所述无法服务信息后,发送所述读取数据票据到所述备用DataNode服务器505;
所述备用DataNode服务器505,用于在接收到所述读取数据票据之后,发送对应所述读取数据票据的数据到所述用户端502,并发送正在服务信息到所述DataNode服务器504。
本发明实施例中,通过用户端502在从DataNode服务器504接收到无法服务信息时,转发读取数据票据到备用DataNode服务器505,进而从备用DataNode服务器505获取对应读取数据票据的数据,以实现对Hadoop分布式文件系统的数据访问。而备用DataNode服务器505发送正在服务信息到DataNode服务器504,以便DataNode服务器504恢复正常时,通过备用DataNode服务器505告知用户端502。
需要说明的是,备用DataNode服务器505中存储的数据与DataNode服务器504所存储的数据一致,且备用DataNode服务器505的个数可以是一个或多个。
当用户端502与备用DataNode服务器505之间建立了数据访问联系之后,则跳过因出现故障而无法服务的DataNode服务器504,直接从备用DataNode服务器505获取对应读取数据票据的数据,从而有效避免了无效的转发和验证读取数据票据的过程。
本发明实施例所公开的一种单点登录系统,通过在DataNode服务器504发送无法服务信息到用户端502后,由备用DataNode服务器505接替DataNode服务器504,来为用户端502提供所需访问的数据,可以有效避免因DataNode服务器504发生故障而无法为用户端502提供访问数据的问题发生,提高了用户体验度。
在上述附图8所对应实施例的基础上,本发明实施例所公开的另一种单点登录系统中,所述备用DataNode服务器505还用于:
接收所述DataNode服务器504发送的服务功能恢复信息,并将所述服务功能恢复信息转发到所述用户端502。
需要说明的是,当DataNode服务器504恢复正常,能够继续为用户端502提供对应读取数据票据的数据时,会自动发送服务功能恢复信息到备用DataNode服务器505,以便通过备用DataNode服务器505告知用户端502。
本发明实施例中,通过备用DataNode服务器505转发服务功能恢复信息到用户端502,可以使用户端502及时获知DataNode服务器504当前能够继续为其服务,提供所需的数据,此时,用户端502将不再发送读取数据票据到备用DataNode服务器505,而是通过发送读取数据票据到DataNode服务器504来进行数据的访问,从而确保了优先选取网络距离更近的DataNode服务器进行数据访问,节省了系统中的通信带宽和计算开销。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种单点登录方法,其特征在于,应用于认证服务器,包括:
在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将所述盲因子发送到所述用户端;
接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private Key Generator,PKG)产生;
判断所述待认证数据与所述目标随机数是否满足预设条件;
若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端;
其中,所述在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,包括:
在接收到用户端发送的登录请求信息时,将所述目标随机数与预设质数相乘,获得所述盲因子,所述目标随机数与所述预设质数满足费马小定理公式;
所述对所述随机数认证信息进行脱盲处理,获得待认证数据,包括:
利用所述共享密钥,对所述随机数认证信息进行解密处理,获得解密后的随机数认证信息;
对所述目标随机数进行求逆运算,获得计算结果;
将所述解密后的随机数认证信息与所述计算结果相乘,获得所述待认证数据;
相应的,所述判断所述待认证数据与所述目标随机数是否满足预设条件具体为:判断所述待认证数据与所述目标随机数是否满足所述费马小定理公式。
2.根据权利要求1所述的单点登录方法,其特征在于,所述若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端,包括:
若所述待认证数据与所述目标随机数满足所述预设条件,利用所述共享密钥对所述认证票据进行加密,并将加密后的认证票据发送到所述用户端。
3.根据权利要求1所述的单点登录方法,其特征在于,所述在接收到用户端发送的登录请求信息之后,还包括:
计算服务器当前访问量;
判断所述服务器当前访问量是否达到服务器最大访问量;
若所述服务器当前访问量达到所述服务器最大访问量,将所述登录请求信息转发到备用服务器;
若所述服务器当前访问量未达到所述服务器最大访问量,返回执行所述对目标随机数进行加盲处理,获得盲因子的步骤。
4.一种单点登录装置,其特征在于,应用于认证服务器,包括:
加盲处理模块,用于在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子;
第一发送模块,用于将所述盲因子发送到所述用户端;
脱盲处理模块,用于接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行解密处理和脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private KeyGenerator,PKG)产生;
判断模块,用于判断所述待认证数据与所述目标随机数是否满足预设条件;
第二发送模块,用于若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端;
其中,所述加盲处理模块包括:
加盲处理单元,用于在接收到用户端发送的登录请求信息时,将所述目标随机数与预设质数相乘,获得所述盲因子,所述目标随机数与所述预设质数满足费马小定理公式;
所述脱盲处理模块包括:
解密单元,用于利用所述共享密钥,对所述随机数认证信息进行解密处理,获得解密后的随机数认证信息;
求逆运算单元,用于对所述目标随机数进行求逆运算,获得计算结果;
相乘单元,用于将所述解密后的随机数认证信息与所述计算结果相乘,获得所述待认证数据;
相应的,所述判断模块,还用于判断所述待认证数据与所述目标随机数是否满足所述费马小定理公式。
5.一种单点登录系统,其特征在于,包括:认证服务器和用户端;
所述认证服务器,用于在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,并将所述盲因子发送到所述用户端,接收所述用户端发送的随机数认证信息,并对所述随机数认证信息进行脱盲处理,获得待认证数据,所述随机数认证信息是由所述用户端利用共享密钥对所述盲因子加密所生成的,所述共享密钥由私钥生成器(Private Key Generator,PKG)产生,判断所述待认证数据与所述目标随机数是否满足预设条件,若所述待认证数据与所述目标随机数满足所述预设条件,发送认证票据到所述用户端;
所述用户端,用于发送所述登录请求信息到所述认证服务器,从所述认证服务器接收所述盲因子,并利用所述共享密钥对所述盲因子进行加密处理,获得所述随机数认证信息,发送所述随机数认证信息到所述认证服务器,以及从所述认证服务器接收所述认证票据;
所述认证服务器在接收到用户端发送的登录请求信息时,对目标随机数进行加盲处理,获得盲因子,包括:在接收到用户端发送的登录请求信息时,将所述目标随机数与预设质数相乘,获得所述盲因子,所述目标随机数与所述预设质数满足费马小定理公式;
所述认证服务器对所述随机数认证信息进行脱盲处理,获得待认证数据,包括:利用所述共享密钥,对所述随机数认证信息进行解密处理,获得解密后的随机数认证信息;对所述目标随机数进行求逆运算,获得计算结果;将所述解密后的随机数认证信息与所述计算结果相乘,获得所述待认证数据;
相应的,所述认证服务器判断所述待认证数据与所述目标随机数是否满足预设条件具体为:判断所述待认证数据与所述目标随机数是否满足所述费马小定理公式。
6.根据权利要求5所述的单点登录系统,其特征在于,还包括:NameNode服务器;
所述用户端,还用于在从所述认证服务器接收所述认证票据之后,发送所述认证票据到所述NameNode服务器;
所述NameNode服务器,用于接收所述认证票据,并判断所述认证票据是否合法,若所述认证票据合法,发送读取数据票据到所述用户端。
7.根据权利要求6所述的单点登录系统,其特征在于,还包括:DataNode服务器;
所述用户端,还用于在从所述NameNode服务器接收到所述读取数据票据之后,发送所述读取数据票据到所述DataNode服务器;
所述DataNode服务器,用于接收所述读取数据票据,并判断所述读取数据票据是否合法,若所述读取数据票据合法,发送对应所述读取数据票据的数据到所述用户端。
8.根据权利要求7所述的单点登录系统,其特征在于,还包括:备用DataNode服务器,所述备用DataNode服务器与所述用户端之间的网络距离大于所述DataNode服务器与所述用户端之间的网络距离;
所述DataNode服务器,还用于若所述读取数据票据合法,发送无法服务信息到所述用户端;
所述用户端,还用于在接收到所述无法服务信息后,发送所述读取数据票据到所述备用DataNode服务器;
所述备用DataNode服务器,用于在接收到所述读取数据票据之后,发送对应所述读取数据票据的数据到所述用户端,并发送正在服务信息到所述DataNode服务器。
9.根据权利要求8所述的单点登录系统,其特征在于,所述备用DataNode服务器还用于:
接收所述DataNode服务器发送的服务功能恢复信息,并将所述服务功能恢复信息转发到所述用户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810618070.1A CN108769056B (zh) | 2018-06-15 | 2018-06-15 | 一种单点登录方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810618070.1A CN108769056B (zh) | 2018-06-15 | 2018-06-15 | 一种单点登录方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108769056A CN108769056A (zh) | 2018-11-06 |
| CN108769056B true CN108769056B (zh) | 2021-03-23 |
Family
ID=64022687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810618070.1A Active CN108769056B (zh) | 2018-06-15 | 2018-06-15 | 一种单点登录方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108769056B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107749865A (zh) * | 2017-12-07 | 2018-03-02 | 安徽大学 | 一种基于同态加密的位置隐私查询方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8621580B2 (en) * | 2010-05-19 | 2013-12-31 | Cleversafe, Inc. | Retrieving access information in a dispersed storage network |
| EP3230921B1 (en) * | 2014-12-08 | 2022-02-23 | Cryptography Research, Inc. | Multiplicative masking for cryptographic operations |
| CN105577356B (zh) * | 2015-12-17 | 2019-04-23 | 西安电子科技大学 | 基于对用户隐私保护的智能电网中数据收集方法 |
| CN106357629B (zh) * | 2016-08-31 | 2021-10-26 | 天津灵创智恒软件技术有限公司 | 基于数字证书的智能终端身份认证与单点登录系统及方法 |
| CN107835145B (zh) * | 2016-09-21 | 2019-12-31 | 炫彩互动网络科技有限公司 | 一种防重放攻击的方法及分布式系统 |
| CN107147617A (zh) * | 2017-04-01 | 2017-09-08 | 北京五八信息技术有限公司 | 一种单点登录方法及装置 |
| CN107231346A (zh) * | 2017-05-03 | 2017-10-03 | 北京海顿中科技术有限公司 | 一种云平台身份识别的方法 |
| CN107257334B (zh) * | 2017-06-08 | 2020-07-14 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
-
2018
- 2018-06-15 CN CN201810618070.1A patent/CN108769056B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107749865A (zh) * | 2017-12-07 | 2018-03-02 | 安徽大学 | 一种基于同态加密的位置隐私查询方法 |
Non-Patent Citations (1)
| Title |
|---|
| 面向HDFS的可证明安全的单点登录协议;王绍人等;《计算机应用研究》;20150929;第33卷(第7期);正文第2152-2156页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108769056A (zh) | 2018-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111209334B (zh) | 基于区块链的电力终端数据安全管理方法 | |
| CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
| CN113099443B (zh) | 设备认证方法、装置、设备和系统 | |
| CN111030814B (zh) | 秘钥协商方法及装置 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN105429945B (zh) | 一种数据传输的方法、装置及系统 | |
| US11714914B2 (en) | Secure storage of passwords | |
| CN110719165A (zh) | 一种区块链分布式动态网络密钥生成和加密方法 | |
| CN108111497A (zh) | 摄像机与服务器相互认证方法和装置 | |
| CN111404664B (zh) | 基于秘密共享和多个移动设备的量子保密通信身份认证系统和方法 | |
| CN103297429A (zh) | 一种嵌入式升级文件传输方法 | |
| CN109684129B (zh) | 数据备份恢复方法、存储介质、加密机、客户端和服务器 | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| CN103780609A (zh) | 一种云数据的处理方法、装置和云数据安全网关 | |
| CN105516135A (zh) | 用于账号登录的方法和装置 | |
| CN110690969B (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
| CN115766119A (zh) | 通信方法、装置、通信系统及存储介质 | |
| CN110035035B (zh) | 一种单点登录的二次认证方法及系统 | |
| CN111343160B (zh) | 基于秘密共享和路由装置的抗量子计算区块链交易方法和系统 | |
| CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
| WO2017004828A1 (zh) | 密码算法升级的方法及设备 | |
| CN113434474A (zh) | 基于联邦学习的流量审计方法、设备、存储介质 | |
| EP2557727B1 (en) | Method and system for multi-access authentication in next generation network | |
| CN108769056B (zh) | 一种单点登录方法、装置及系统 | |
| CN105790932A (zh) | 一种通过使用机器码为基础的加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |