CN111817860A - 一种通信认证方法、装置、设备及存储介质 - Google Patents
一种通信认证方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111817860A CN111817860A CN202010904927.3A CN202010904927A CN111817860A CN 111817860 A CN111817860 A CN 111817860A CN 202010904927 A CN202010904927 A CN 202010904927A CN 111817860 A CN111817860 A CN 111817860A
- Authority
- CN
- China
- Prior art keywords
- service
- cluster
- authentication
- bill
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 56
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000000977 initiatory effect Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 11
- 230000004083 survival effect Effects 0.000 claims description 9
- 238000004519 manufacturing process Methods 0.000 abstract description 6
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 210000001503 joint Anatomy 0.000 abstract 1
- 238000003032 molecular docking Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 10
- 238000013475 authorization Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012559 user support system Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Abstract
本申请公开了一种通信认证方法、装置、设备及存储介质。该方法的步骤包括:获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据;将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证;其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号。本方法能够满足实际生产场景下客户端基于Kerberos协议对集群中的多个节点进行对接认证的业务初始化需求,相对确保了集群业务的可靠性。此外,本申请还提供一种通信认证装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及数据通信领域,特别是涉及一种通信认证方法、装置、设备及存储介质。
背景技术
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
在当前客户端基于Kerberos协议对去中心化分布式架构集群进行访问的场景下,往往需要该客户端通过向Kerberos协议指定的认证服务器(KDC)进行对集群中节点的认证请求,并得到由KDC反馈的节点的服务票据(Service Ticket),进而利用该服务票据向集群中相应的节点进行对接认证,以此建立与相应节点的通信连接,但是客户端当前仅能够通过获取到的服务票据完成与集群中特定一个节点的对接认证,无法实现对于集群中多个节点的对接认证,难以满足实际生产场景下客户端基于Kerberos协议对集群中的多个节点进行对接认证的业务初始化需求,难以确保集群业务的可靠性。
由此可见,提供一种通信认证方法,以实现客户端基于Kerberos协议与集群中的多个节点进行对接认证的业务初始化需求,进而确保集群业务的可靠性,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种通信认证方法、装置、设备及存储介质,以实现客户端基于Kerberos协议与集群中的多个节点进行对接认证的业务初始化需求,进而确保集群业务的可靠性。
为解决上述技术问题,本申请提供一种通信认证方法,包括:
获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据;
将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证;其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号。
优选地,获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,包括:
基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求;
接收由认证服务器传入的基于目标服务账号生成的服务票据。
优选地,在基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求之前,方法还包括:
基于Kerberos协议向认证服务器发送身份信息,以供认证服务器对身份信息进行认证;
接收由认证服务器基于身份信息反馈的认证通过标识;
基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求,包括:
基于Kerberos协议向认证服务器发起包含有目标服务账号以及认证通过标识的访问请求。
优选地,将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证,包括:
将所服务票据以加密字符串的形式发送至去中心化分布式架构集群中的集群节点,以通过集群节点对加密字符串执行解密操作得到服务票据,并基于本地的用户账号对服务票据对应的目标服务账号进行认证。
优选地,在获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据之后,方法还包括:
生成目标线程,并利用目标线程统计服务票据的生存时间;
判断生存时间是否达到预设阈值;
如果生存时间达到预设阈值,则调用目标线程刷新服务票据。
优选地,去中心化分布式架构集群包括Elasticsearch集群。
此外,本申请还提供一种通信认证装置,包括:
票据获取模块,用于获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据;
票据认证模块,用于将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证;其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号。
优选地,票据获取模块,包括:
请求发起模块,用于基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求;
票据接收模块,用于接收由认证服务器传入的基于目标服务账号生成的服务票据。
此外,本申请还提供一种通信认证设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的通信认证方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的通信认证方法的步骤。
本申请所提供的通信认证方法,首先获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,进而将服务票据发送至去中心化分布式架构集群中的集群节点,其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,以此通过相应的集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证。由于本方法中去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,因此能够确保客户端获取到的服务票据能够与集群中的全部节点均完成对接认证,进而实现了对于集群中多个节点的对接认证,能够满足实际生产场景下客户端基于Kerberos协议对集群中的多个节点进行对接认证的业务初始化需求,相对确保了集群业务的可靠性。此外,本申请还提供一种通信认证装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种通信认证方法的流程图;
图2为本申请实施例公开的一种通信认证方法的流程图;
图3为本申请实施例公开的一种通信认证方法的流程图;
图4为本申请实施例公开的一种通信认证装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
在当前客户端基于Kerberos协议对去中心化分布式架构集群进行访问的场景下,往往需要该客户端通过向Kerberos协议指定的认证服务器(KDC)进行对集群中节点的认证请求,并得到由KDC反馈的节点的服务票据(Service Ticket),进而利用该服务票据向集群中相应的节点进行对接认证,以此建立与相应节点的通信连接,但是客户端当前仅能够通过获取到的服务票据完成与集群中特定一个节点的对接认证,无法实现对于集群中多个节点的对接认证,难以满足实际生产场景下客户端基于Kerberos协议对集群中的多个节点进行对接认证的业务初始化需求,难以确保集群业务的可靠性。
为此,本申请的核心是提供一种通信认证方法,以实现客户端基于Kerberos协议与集群中的多个节点进行对接认证的业务初始化需求,进而确保集群业务的可靠性。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
请参见图1所示,本申请实施例公开了一种通信认证方法,包括:
步骤S10:获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据。
需要说明的是,本实施例的执行主体可以为向Kerberos协议指定的认证服务器(KDC)进行身份认证并获取特定服务器设备的访问权限的客户端。
本步骤中获取得到的服务票据,是Kerberos协议的Kerberos认证过程中,由认证服务器(KDC)颁发给客户端的具有一定生命周期的票据,即ST(Service Ticket),客户端只有获得此票据,才能访问目标服务。本步骤获取到的服务票据,是在后续步骤中客户端对去中心化分布式架构集群中的集群节点进行通信之前,用于提供给集群节点进行通信合法性验证的标识。
另外,本步骤中,当客户端本地预先存储有由认证服务器生成的服务票据时,获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,可以具体是获取存储于客户端本地的服务票据;当客户端本地未预先存储有由认证服务器生成的服务票据时,获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,也可以是通过由认证服务器实时生成的服务票据。
步骤S11:将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证。
其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号。
需要说明的是,在获取到由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据之后,本步骤进一步将服务票据发送至去中心化分布式架构集群中的集群节点,此处的去中心化分布式架构中,各个节点之间无从属关系且协同工作。需要强调的是,本实施例中去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,因此能够确保去中心化分布式架构集群中的各个集群节点均能够基于相同用户账号对服务票据对应的目标服务账号进行认证,实现了各个集群节点对于用户账号的共享,进而能够确保服务票据通用于去中心化分布式架构集群中的各个集群节点的认证,以此实现客户端基于Kerberos协议与集群中的多个节点进行对接认证的业务初始化需求。
本申请所提供的通信认证方法,首先获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,进而将服务票据发送至去中心化分布式架构集群中的集群节点,其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,以此通过相应的集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证。由于本方法中去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,因此能够确保客户端获取到的服务票据能够与集群中的全部节点均完成对接认证,进而实现了对于集群中多个节点的对接认证,能够满足实际生产场景下客户端基于Kerberos协议对集群中的多个节点进行对接认证的业务初始化需求,相对确保了集群业务的可靠性。
在上述实施例的基础上,作为一种优选的实施方式,将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证,包括:
将所服务票据以加密字符串的形式发送至去中心化分布式架构集群中的集群节点,以通过集群节点对加密字符串执行解密操作得到服务票据,并基于本地的用户账号对服务票据对应的目标服务账号进行认证。
需要说明的是,本实施方式的重点是,在将服务票据发送至去中心化分布式架构中的集群节点时,具体是预先对服务票据进行加密生成加密字符串,进而将所服务票据以加密字符串的形式发送至去中心化分布式架构集群中的集群节点,进而集群节点能够根据通过对加密字符串进行解密得到相应的服务票据,并对该服务票据进行认证。本实施方式进一步确保了客户端通过服务票据向集群节点发起认证过程中服务票据的保密性,进而确保通信认证过程的整体可靠性。
在上述实施例的基础上,作为一种优选的实施方式,在获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据之后,方法还包括:
生成目标线程,并利用目标线程统计服务票据的生存时间;
判断生存时间是否达到预设阈值;
如果生存时间达到预设阈值,则调用目标线程刷新服务票据。
需要说明的是,本实施方式的考虑到认证服务器生成的服务票据往往具有时效性,当服务票据生成后到达一定的时长时,服务票据将失效,客户端将无法使用该服务票据通过集群节点的认证,因此可能存在获取到服务票据的客户端无法正常与集群节点进行通信对接的情况,因此本实施方式在获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据之后,进一步启用生成目标线程,并利用目标线程统计服务票据的生存时间,进而判断生存时间是否达到预设阈值,如果生存时间达到预设阈值,则调用目标线程刷新服务票据,即重新基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求,以此获取最新的服务票据。此处的预设阈值可以具体为服务票据的额定生存时间的80%。本实施方式进一步确保了服务票据的持续可用性,进而保证了通信认证过程的整体可靠性。
请参见图2所示,本申请实施例公开了一种通信认证方法,包括:
步骤S20:基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求。
需要说明的是,本实施例通过认证服务器实时生成服务票据的方式获取服务票据,首先是基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求,进而认证服务器能够基于Kerberos协议将目标服务账号转化为对应的服务票据并反馈给客户端,以供客户端使用服务票据访问具有相应服务账号的服务器节点,并由该服务器节点根据自身的服务账号对服务票据进行认证。
步骤S21:接收由认证服务器传入的基于目标服务账号生成的服务票据。
在基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求之后,本步骤进一步接收由认证服务器传入的基于目标服务账号生成的服务票据,也就是说,认证服务器在接收到包含有目标服务账号的访问请求之后,根据目标服务账号生成对应的服务票据,相当于对客户端访问目标服务账号的服务器进行了认证授权,进而客户端能够通过将该服务票据发送至具有目标服务账号且配置有Kerberos协议的服务器,以此进一步完成该服务器对客户端的认证,并建立与服务器与客户端之间的通信连接。
步骤S22:将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证。
其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号。
需要说明的是,本实施例通过认证服务器实时生成服务票据的方式获取服务票据,能够相对确保服务票据的可靠性,进一步确保通信认证过程的整体可靠性。
请参见图3所示,本申请实施例公开了一种通信认证方法,包括:
步骤S30:基于Kerberos协议向认证服务器发送身份信息,以供认证服务器对身份信息进行认证。
需要说明的是,在本实施例中,首先由客户端基于Kerberos协议向认证服务器发送身份信息,以供认证服务器对身份信息进行认证。其中,客户端基于Kerberos协议向认证服务器发送的身份信息包括但不限于客户端的账号名和密码,进而认证服务器在收到客户端发送的身份信息之后,可以进一步判断该身份信息是否预先记录于授权列表中,进而当客户端发送的身份信息记录于授权列表时,认证服务器则进一步向客户端反馈认证通过标识。
步骤S31:接收由认证服务器基于身份信息反馈的认证通过标识。
需要说明的是,在认证服务器对客户端发送的身份信息认证通过后,进一步向客户端发送认证通过标识,认证通过标识表征的是相应客户端是认证服务器认证通过且能够与其它运行有Kerberos协议节点进行通信的客户端。
步骤S32:基于Kerberos协议向认证服务器发起包含有目标服务账号以及认证通过标识的访问请求。
在接收到由认证服务器基于身份信息反馈的认证通过标识之后,客户端进一步基于Kerberos协议向认证服务器发起包含有目标服务账号以及认证通过标识的访问请求,目的是通过访问请求中的认证通过标识告知认证服务器自身的合法性,在此基础上,通过访问请求中的目标服务账号告知认证服务器需要访问的服务器。
步骤S33:接收由认证服务器传入的基于目标服务账号生成的服务票据。
步骤S34:将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证。
其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号。
本实施例中,客户端基于Kerberos协议向认证服务器发送身份信息,以供认证服务器对身份信息进行认证,并接收由认证服务器基于身份信息反馈的认证通过标识,进而通过包含有认证通过标识的访问请求向认证服务器获取特定服务器的服务票据,能够进一步确保认证服务器对于服务器身份认证的可靠性,从而确保通信认证过程的整体可靠性。
在上述一系列实施例的基础上,作为一种优选的实施方式,去中心化分布式架构集群包括Elasticsearch集群。
需要说明的是,Elasticsearch是一种开源的分布式全文检索搜索引擎,在云计算中,能够达到实时搜索时稳定、可靠、快速的使用效果。
由于原生的Kerberos协议认证方案仅适用于对Elasticsearch集群中单个节点的对接认证,但是Elasticsearch集群向用户提供的功能接口支持多个节点的认证对接,因此当前在Elasticsearch集群的应用场景下,并未实现客户端基于Kerberos协议对Elasticsearch集群中的多个节点进行认证的技术方案,而本实施方式进一步确保了客户端基于Kerberos协议对Elasticsearch集群中的多个节点进行认证的可用性。
请参见图4所示,本申请实施例提供了一种通信认证装置,包括:
票据获取模块10,用于获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据;
票据认证模块11,用于将服务票据发送至去中心化分布式架构集群中的集群节点,以通过集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证;其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号。
更进一步的,作为一种优选的实施方式,票据获取模块10,包括:
请求发起模块,用于基于Kerberos协议向认证服务器发起包含有目标服务账号的访问请求;
票据接收模块,用于接收由认证服务器传入的基于目标服务账号生成的服务票据。
本申请所提供的通信认证装置,首先获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,进而将服务票据发送至去中心化分布式架构集群中的集群节点,其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,以此通过相应的集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证。由于本装置中去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,因此能够确保客户端获取到的服务票据能够与集群中的全部节点均完成对接认证,进而实现了对于集群中多个节点的对接认证,能够满足实际生产场景下客户端基于Kerberos协议对集群中的多个节点进行对接认证的业务初始化需求,相对确保了集群业务的可靠性。
此外,本申请实施例还提供一种通信认证设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的通信认证方法的步骤。
本申请所提供的通信认证设备,首先获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,进而将服务票据发送至去中心化分布式架构集群中的集群节点,其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,以此通过相应的集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证。由于本设备中去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,因此能够确保客户端获取到的服务票据能够与集群中的全部节点均完成对接认证,进而实现了对于集群中多个节点的对接认证,能够满足实际生产场景下客户端基于Kerberos协议对集群中的多个节点进行对接认证的业务初始化需求,相对确保了集群业务的可靠性。
此外,本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的通信认证方法的步骤。
本申请所提供的计算机可读存储介质,首先获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,进而将服务票据发送至去中心化分布式架构集群中的集群节点,其中,去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,以此通过相应的集群节点基于本地的用户账号对服务票据对应的目标服务账号进行认证。由于本计算机可读存储介质中去中心化分布式架构集群中的各集群节点均配置有相同的用户账号,因此能够确保客户端获取到的服务票据能够与集群中的全部节点均完成对接认证,进而实现了对于集群中多个节点的对接认证,能够满足实际生产场景下客户端基于Kerberos协议对集群中的多个节点进行对接认证的业务初始化需求,相对确保了集群业务的可靠性。
以上对本申请所提供的一种通信认证方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种通信认证方法,其特征在于,包括:
获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据;
将所述服务票据发送至去中心化分布式架构集群中的集群节点,以通过所述集群节点基于本地的用户账号对所述服务票据对应的目标服务账号进行认证;其中,所述去中心化分布式架构集群中的各集群节点均配置有相同的所述用户账号。
2.根据权利要求1所述的通信认证方法,其特征在于,所述获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据,包括:
基于Kerberos协议向认证服务器发起包含有所述目标服务账号的访问请求;
接收由所述认证服务器传入的基于所述目标服务账号生成的所述服务票据。
3.根据权利要求2所述的通信认证方法,其特征在于,在所述基于Kerberos协议向认证服务器发起包含有所述目标服务账号的访问请求之前,所述方法还包括:
基于所述Kerberos协议向所述认证服务器发送身份信息,以供所述认证服务器对所述身份信息进行认证;
接收由所述认证服务器基于所述身份信息反馈的认证通过标识;
所述基于Kerberos协议向认证服务器发起包含有所述目标服务账号的访问请求,包括:
基于Kerberos协议向认证服务器发起包含有所述目标服务账号以及所述认证通过标识的所述访问请求。
4.根据权利要求1所述的通信认证方法,其特征在于,所述将所述服务票据发送至去中心化分布式架构集群中的集群节点,以通过所述集群节点基于本地的用户账号对所述服务票据对应的目标服务账号进行认证,包括:
将所服务票据以加密字符串的形式发送至所述去中心化分布式架构集群中的集群节点,以通过所述集群节点对所述加密字符串执行解密操作得到所述服务票据,并基于本地的所述用户账号对所述服务票据对应的目标服务账号进行认证。
5.根据权利要求1所述的通信认证方法,其特征在于,在所述获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据之后,所述方法还包括:
生成目标线程,并利用所述目标线程统计所述服务票据的生存时间;
判断所述生存时间是否达到预设阈值;
如果所述生存时间达到所述预设阈值,则调用所述目标线程刷新所述服务票据。
6.根据权利要求1至5任意一项所述的通信认证方法,其特征在于,所述去中心化分布式架构集群包括Elasticsearch集群。
7.一种通信认证装置,其特征在于,包括:
票据获取模块,用于获取由认证服务器基于Kerberos协议对目标服务账号进行转化得到的服务票据;
票据认证模块,用于将所述服务票据发送至去中心化分布式架构集群中的集群节点,以通过所述集群节点基于本地的用户账号对所述服务票据对应的目标服务账号进行认证;其中,所述去中心化分布式架构集群中的各集群节点均配置有相同的所述用户账号。
8.根据权利要求7所述的通信认证装置,其特征在于,所述票据获取模块,包括:
请求发起模块,用于基于Kerberos协议向认证服务器发起包含有所述目标服务账号的访问请求;
票据接收模块,用于接收由所述认证服务器传入的基于所述目标服务账号生成的所述服务票据。
9.一种通信认证设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的通信认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的通信认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010904927.3A CN111817860B (zh) | 2020-09-01 | 2020-09-01 | 一种通信认证方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010904927.3A CN111817860B (zh) | 2020-09-01 | 2020-09-01 | 一种通信认证方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111817860A true CN111817860A (zh) | 2020-10-23 |
| CN111817860B CN111817860B (zh) | 2021-02-23 |
Family
ID=72859919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010904927.3A Active CN111817860B (zh) | 2020-09-01 | 2020-09-01 | 一种通信认证方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111817860B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115834705A (zh) * | 2022-11-09 | 2023-03-21 | 迈普通信技术股份有限公司 | 认证服务分配方法、节点集群及计算机可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6401211B1 (en) * | 1999-10-19 | 2002-06-04 | Microsoft Corporation | System and method of user logon in combination with user authentication for network access |
| US20070127723A1 (en) * | 2003-10-28 | 2007-06-07 | Grobman Steven L | Server pool Kerberos authentication scheme |
| US20090217029A1 (en) * | 2008-02-27 | 2009-08-27 | Microsoft Corporation | Kerberos ticket virtualization for network load balancers |
| CN105359486A (zh) * | 2013-05-03 | 2016-02-24 | 思杰系统有限公司 | 使用代理安全访问资源 |
| US20180007031A1 (en) * | 2016-06-30 | 2018-01-04 | International Business Machines Corporation | Secure virtualized servers |
| CN109067785A (zh) * | 2018-09-19 | 2018-12-21 | 新华三大数据技术有限公司 | 集群认证方法、装置 |
| CN109802927A (zh) * | 2017-11-17 | 2019-05-24 | 航天信息股份有限公司 | 一种安全服务提供方法及装置 |
| CN109862024A (zh) * | 2019-02-27 | 2019-06-07 | 苏州浪潮智能科技有限公司 | 一种云管理系统的网络授权协议访问控制方法及系统 |
-
2020
- 2020-09-01 CN CN202010904927.3A patent/CN111817860B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6401211B1 (en) * | 1999-10-19 | 2002-06-04 | Microsoft Corporation | System and method of user logon in combination with user authentication for network access |
| US20070127723A1 (en) * | 2003-10-28 | 2007-06-07 | Grobman Steven L | Server pool Kerberos authentication scheme |
| US20090217029A1 (en) * | 2008-02-27 | 2009-08-27 | Microsoft Corporation | Kerberos ticket virtualization for network load balancers |
| CN105359486A (zh) * | 2013-05-03 | 2016-02-24 | 思杰系统有限公司 | 使用代理安全访问资源 |
| US20180007031A1 (en) * | 2016-06-30 | 2018-01-04 | International Business Machines Corporation | Secure virtualized servers |
| CN109802927A (zh) * | 2017-11-17 | 2019-05-24 | 航天信息股份有限公司 | 一种安全服务提供方法及装置 |
| CN109067785A (zh) * | 2018-09-19 | 2018-12-21 | 新华三大数据技术有限公司 | 集群认证方法、装置 |
| CN109862024A (zh) * | 2019-02-27 | 2019-06-07 | 苏州浪潮智能科技有限公司 | 一种云管理系统的网络授权协议访问控制方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115834705A (zh) * | 2022-11-09 | 2023-03-21 | 迈普通信技术股份有限公司 | 认证服务分配方法、节点集群及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111817860B (zh) | 2021-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11606352B2 (en) | Time-based one time password (TOTP) for network authentication | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| CN111556006B (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
| US10541991B2 (en) | Method for OAuth service through blockchain network, and terminal and server using the same | |
| CN104065653B (zh) | 一种交互式身份验证方法、装置、系统和相关设备 | |
| WO2018145605A1 (zh) | 鉴权方法及服务器、访问控制装置 | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| CN108696358B (zh) | 数字证书的管理方法、装置、可读存储介质及服务终端 | |
| US20210029120A1 (en) | Blockchain-based account management | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| CN106375270B (zh) | 令牌生成并认证的方法及认证服务器 | |
| CN112671720B (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
| US20170048225A1 (en) | Method, Apparatus, and System for Secure Authentication | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| TWI679551B (zh) | 進程的身份認證方法和裝置 | |
| US20180255053A1 (en) | Partial one-time password | |
| US10791119B1 (en) | Methods for temporal password injection and devices thereof | |
| Abdelrazig Abubakar et al. | Blockchain-based identity and authentication scheme for MQTT protocol | |
| CN113872990B (zh) | 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 | |
| JP2022528711A (ja) | 分散台帳に関連付けられた宛先アドレッシング | |
| KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| CN111817860B (zh) | 一种通信认证方法、装置、设备及存储介质 | |
| US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
| CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 | |
| US10979411B2 (en) | Authentication control system, server apparatus, client apparatus, authentication control method, authentication method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |