CN113542300B - 一种支持多协议标识解析的节点接入认证方法及系统 - Google Patents

一种支持多协议标识解析的节点接入认证方法及系统 Download PDF

Info

Publication number
CN113542300B
CN113542300B CN202110864560.1A CN202110864560A CN113542300B CN 113542300 B CN113542300 B CN 113542300B CN 202110864560 A CN202110864560 A CN 202110864560A CN 113542300 B CN113542300 B CN 113542300B
Authority
CN
China
Prior art keywords
protocol
forwarding
node
client
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110864560.1A
Other languages
English (en)
Other versions
CN113542300A (zh
Inventor
李俊
王冲华
周昊
余果
樊佩茹
林晨
李红飞
刘东东
王允成
张雪莹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Industrial Control Systems Cyber Emergency Response Team
Original Assignee
China Industrial Control Systems Cyber Emergency Response Team
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Industrial Control Systems Cyber Emergency Response Team filed Critical China Industrial Control Systems Cyber Emergency Response Team
Priority to CN202110864560.1A priority Critical patent/CN113542300B/zh
Publication of CN113542300A publication Critical patent/CN113542300A/zh
Application granted granted Critical
Publication of CN113542300B publication Critical patent/CN113542300B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种支持多协议标识解析的节点接入认证方法及系统,该系统包括:客户端、接入认证模块、协议转发系统和节点系统;接入认证模块用于根据客户端的不同类型选用与客户端对应的授权方式,采用与客户端对应的授权方式对用户身份信息进行认证,根据操作标识解析查询业务获取标识解析节点参数信息,将用户的身份信息和标识解析节点参数信息发送到协议转发系统;协议转发系统用于根据标识解析节点参数信息确定转发协议,将用户的身份信息和标识解析节点参数信息以转发协议转发到节点系统;节点系统用于对用户的身份信息进行校验,根据用户的身份信息和标识解析节点参数信息获得标识解析查询结果。本发明提高了标识解析的查询速率。

Description

一种支持多协议标识解析的节点接入认证方法及系统
技术领域
本发明涉及工业互联网标识技术领域,特别是涉及一种支持多协议标识解析的节点接入认证方法及系统。
背景技术
工业互联网标识解析体系的核心包括标识编码、标识解析系统,标识数据服务等三个部分。在工业互联网体系中,网络是基础,而标识是网络的基础,是网络的“身份证”,通过给每一个对象赋予标识,并借助工业互联网标识解析系统,实现跨地域、跨行业、跨企业的信息查询和共享。通过对节点的身份认证和授权操作,提高了工业互联网标识解析的操作安全性。
由于全球存在多种标识编码及标识解析方案,包括GS1、OID、Handle、Ecode和UID等,现有的工业互联网标识解析服务,不能兼容支持多种协议的标识解析,标识解析查询速度较慢,标识解析查询结果内容展示不全及客户端展示内容凌乱,标识解析查询结果未真实性校验,极大的影响了用户企业和标识解析业务推广。
目前节点接入没有标准的接入认证方式,各节点均孤立存在,无法做到数据普及和共享,数据同步成本过高、安全性过低,进而影响标识解析的流通环节的供应链管理、全生命周期管理、产品溯源等。
发明内容
本发明的目的是提供一种支持多协议标识解析的节点接入认证方法及系统,通过实现多种协议的标识解析查询的兼容,提高了标识解析的查询速率。
为实现上述目的,本发明提供了如下方案:
一种支持多协议标识解析的节点接入认证系统,包括:客户端、接入认证模块、协议转发系统和节点系统;所述客户端与所述接入认证模块通信连接,所述接入认证模块与所述协议转发系统通信连接,所述协议转发系统与所述节点系统通信连接;
所述客户端用于获取用户操作标识解析查询业务和用户身份信息;
所述接入认证模块用于获取所述客户端的类型,并根据所述客户端的类型选用与所述客户端的类型对应的授权方式,采用与所述客户端对应的授权方式对用户身份信息进行认证,根据操作标识解析查询业务获取标识解析节点参数信息,将所述用户的身份信息和标识解析节点参数信息发送到所述协议转发系统;
所述协议转发系统用于对所述标识解析节点参数信息进行校验,根据所述标识解析节点参数信息确定转发协议,将所述用户的身份信息和所述标识解析节点参数信息以所述转发协议转发到节点系统;
所述节点系统用于对所述用户的身份信息进行校验,根据所述用户的身份信息和所述标识解析节点参数信息获得标识解析查询结果。
可选地,所述节点系统还用于对标识解析查询结果进行数字签名,并将数字签名后的标识解析查询结果发送到所述协议转发系统;所述协议转发系统还用于对数字签名后的标识解析查询结果进行真实性的验证,并将所述标识解析查询结果通过所述接入认证模块发送到所述客户端。
可选地,所述接入认证模块的授权方式包括Authorization Code、ImplicitGrant、Resource Owner Password Credentials和Client Credentials。
可选地,所述协议转发系统包括DNS协议识别系统、OID协议识别系统和HANDLE协议识别系统。
可选地,所述协议转发系统包括组包模块,所述组包模块随每个组包线程独立配置,各线程间采用独立的组包数据结构对象,并通过红黑树实现组包操作。
可选地,所述组包线程包括请求收包线程和转发响应的收包线程。
可选地,所述协议转发系统还包括缓存模块,所述缓存模块用于将所述标识解析节点参数信息和所述标识解析查询结果存储在redis或memcached的缓存服务中。
可选地,所述接入认证模块还用于判断所述客户端是否存在用户登录信息;若存在用户登录信息,则将token信息发送到所述协议转发系统,所述token信息包括用户身份信息。
本发明公开了一种支持多协议标识解析的节点接入认证方法,包括:
通过客户端获取用户操作标识解析查询业务和用户身份信息;
通过接入认证模块获取所述客户端的类型,并根据所述客户端的类型选用与所述客户端的类型对应的授权方式,采用与所述客户端对应的授权方式对用户身份信息进行认证,根据操作标识解析查询业务获取标识解析节点参数信息,将所述用户的身份信息和标识解析节点参数信息发送到协议转发系统;
通过协议转发系统对所述标识解析节点参数信息进行校验,根据所述标识解析节点参数信息确定转发协议,将所述用户的身份信息和所述标识解析节点参数信息以所述转发协议转发到节点系统;
通过节点系统对所述用户的身份信息进行校验,根据所述用户的身份信息和所述标识解析节点参数信息获得标识解析查询结果。
可选地,所述方法还包括:
通过节点系统对标识解析查询结果进行数字签名,并将数字签名后的标识解析查询结果发送到所述协议转发系统;
通过所述协议转发系统对数字签名后的标识解析查询结果进行真实性的验证,并将所述标识解析查询结果通过所述接入认证模块发送到所述客户端。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明通过接入认证模块根据客户端的不同类型选用与客户端对应的授权方式,采用与客户端对应的授权方式对用户身份信息进行认证,协议转发系统将用户的身份信息和标识解析节点参数信息以对应的转发协议转发到节点系统,实现了多种协议的标识解析查询的兼容,统一了各节点的认证鉴权流程,减少了用户重复输入账号和密码的繁琐操作,有效的提升了用户体验,进一步提高了用户对节点系统的认知度和使用率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种支持多协议标识解析的节点接入认证系统结构示意图;
图2为本发明一种支持多协议标识解析的节点接入认证系统的信息传输示意图;
图3为本发明判断当前浏览器是否有用户登录的方法流程示意图;
图4为本发明协议转发系统功能示意图;
图5为本发明组包数据结构示意图;
图6为本发明缓存模块结构示意图;
图7为本发明单点登录OATH2.0-认证流程示意图;
图8为本发明一种支持多协议标识解析的节点接入认证方法流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种支持多协议标识解析的节点接入认证方法及系统,通过实现多种协议的标识解析查询的兼容,提高了标识解析的查询速率。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明一种支持多协议标识解析的节点接入认证系统结构示意图,如图1所示,一种支持多协议标识解析的节点接入认证系统,包括:客户端、接入认证模块、协议转发系统和节点系统;客户端与接入认证模块通信连接,接入认证模块与协议转发系统通信连接,协议转发系统与节点系统通信连接。
客户端用于获取用户操作标识解析查询业务和用户身份信息。客户端包括浏览器。
接入认证模块用于根据客户端的不同类型选用与客户端对应的授权方式,采用与客户端对应的授权方式对用户身份信息进行认证,根据操作标识解析查询业务获取标识解析节点参数信息,将用户的身份信息和标识解析节点参数信息发送到协议转发系统。
接入认证模块还用于判断客户端是否存在用户登录信息;若存在用户登录信息,则将token信息发送到协议转发系统,token信息包括用户身份信息。具体为:若存在用户登录信息,携带token信息向协议转发系统调用标识解析查询接口;若无用户登录信息,直接向协议转发系统调用匿名标识解析查询接口。通过携带token信息调用标识解析查询接口获取了第一查询结果,通过匿名标识解析查询接口获取了第二查询结果,标识解析查询接口的访问权限比匿名标识解析查询接口的访问权限高,通过标识解析查询接口能够获取更多的信息。
在工业化互联网标识解析节点接入的认证的功能中,为了适应各种授权环境,把多种浏览器/客户端流程和多种流程授权的许可方式结合起来,归结为以下授权方式:
接入认证模块的授权方式包括Authorization Code(授权码模式)、ImplicitGrant(简化模式)、Resource Owner Password Credentials(密码模式)及ClientCredentials(客户端模式);
更具体的,用户操作标识解析查询业务通过Authorization Code、ImplicitGrant、Resource Owner Password Credentials及Client Credentials中的任一种实现查询解析服务;
再具体的,当客户端是WEB、H5或触屏服务器程序的一部分,且通过http/https请求实现时,选用Authorization Code为接入认证模块;
当客户端运行于用户代理内时,选用Implicit Grant为接入认证模块;
当客户端直接使用资源拥有者的私有证书且最终用户和客户端有很强的信任关系时,选用Resource Owner Password Credentials为接入认证模块;
当客户端使用它的私有证书去获取访问令牌,选用Client Credentials为接入认证模块。
协议转发系统用于对标识解析节点参数信息进行校验,根据标识解析节点参数信息确定转发协议,将用户的身份信息和标识解析节点参数信息以转发协议转发到节点系统。
协议转发系统包括DNS协议识别系统、OID协议识别系统和HANDLE协议识别系统。
如图4所示,协议转发系统包括DNS转发系统(DNS协议识别系统)、OID转发系统(OID协议识别系统)与HANDLE转发系统(HANDLE协议识别系统)。
DNS转发系统用于DNS协议转发、DNS数据缓存以及提供标准的DNS协议查询服务。
OID转发系统用于OID协议转发、OID数据缓存以及提供标准的OID协议查询服务。
HANDLE转发系统用于HANDLE协议的转发,HANDLE数据的缓存,提供标准的HANDLE协议查询服务,同时提供基于HTTP协议的安全认证,协议查询等。
协议转发系统的组包数据结构:
Handle协议的报文在使用udp协议进行传输的时候,因为udp传输大小的限制,存在拆包发送的现象。因此需要考虑到收包后的组包问题。同时考虑到组包效率,需要一定的数据结构进行支撑,故构建组包数据结构。
在本发明中,组包模块随每一个涉及到组包线程独立配置,每个线程间使用各自独立的组包数据结构对象,并且组包操作在红黑树上实现,以实现快速的索引。上述过程中,涉及到的线程有:请求收包线程,转发响应的收包线程。
如图5所示,在本发明中,在RB-tree上完成handle协议的组包过程,具体包括以下步骤:
第一:RB-tree的每一个节点用来作为组包时分包的索引:由requestid+src_addr组成(requestid同一个客户端的每一次请求唯一,所以在组包的时候为了保证客户端唯一需要将src_addr纳入索引节点)。
对于递归响应的组包索引标识,需要将iter_port与iter_server加入组包索引。
第二:节点下挂载IRS_RECEIVE队列,RB-tree中的每一个节点需要记录开始组包时刻的时间戳,使用定时任务通过rbtWalk遍历RB-tree,对于超出时间阀值没有组包完成的handle报文,执行全量删除操作,组包超时的时间阈值支持可配置。
其中,为防止全量删除操作后的handle报文出现异常报告,对执行完全量删除的handle报文进行缺失项检索及填充。
缺失项检索:
在运行环境内运行handle报文,若出现报错时,进行缺失项填充。
缺失项填充:
1)判断缺失项类型
2)若缺失类型为随机缺失或完全随机缺失时,通过公式(1)求出缺失值;
Figure BDA0003186847320000071
式中ay1为所缺失的handle报文对应时间节点信息的前一个时间节点信息,ax1为所缺失的handle报文对应时间节点信息的后一个时间节点信息,n为所缺失的handle报文对应时间节点信息的所选取的相邻时间节点信息的数量且n为整数,A为所进行计算的相邻handle报文的数量。
3)若缺失类型为非随机缺失时;
预先设定的若干经验池,若干经验池分别对应handle报文,若干经验池内设有若干记忆槽,若干记忆槽用于记录对应handle报文内每个规则字符串;
通过存储器存储系统运行时全部handle报文对应的经验池;
获取缺失的handle报文对应经验池对应的形状,并于存储器内全部handle报文对应的经验池形状进行对比,
若缺失的handle报文对应经验池未找出形状相同的经验池,则剔除缺失的handle报文,不进行填充;
若缺失的handle报文对应经验池找出形状相同的经验池,获取时间节点最近的经验池进行填充,完成数据补充。
如图6所示,协议转发系统采用缓存模块设计,通过将标识解析查询信息和查询结果存储在redis或memcached缓存服务中,在大批量查询请求的情况下,本发明可以降低频繁与节点交互的次数,有助于提升工业互联网标识解析缓存的工作效率。如图6所示,具体采用哈希表(Hash_table)缓存标识解析查询信息和查询结果,哈希表包括多个哈希节点(Hash_node),各哈希节点用p_next表示是否存在下级节点。
更具体的,接入认证方法基于一种安全的授权框架,允许用户让节点应用访问该用户终端信息,无需将用户名和密码提供给其它应用。
由于采用集中式授权,简化登录方式,易于用户账号数据信息安全维护,使认证过程更加简单、安全。
授权码和令牌头等验证信息,均可存储在例如memcached、redis等缓存服务中,既提高了系统的处理速度,又减少了数据库压力。
节点系统用于对用户的身份信息进行校验,根据用户的身份信息和标识解析节点参数信息获得标识解析查询结果。
节点系统还用于对标识解析查询结果进行数字签名,并将数字签名后的标识解析查询结果发送到协议转发系统;协议转发系统还用于对数字签名后的标识解析查询结果进行真实性的验证,并将标识解析查询结果通过接入认证模块发送到客户端。
协议转发系统包括组包模块,组包模块随每个组包线程独立配置,各线程间采用独立的组包数据结构对象,并通过红黑树实现组包操作。
组包线程包括请求收包线程和转发响应的收包线程。
协议转发系统还包括缓存模块,缓存模块用于将标识解析节点参数信息和标识解析查询结果存储在redis或memcached的缓存服务中。
节点接入认证方法提供了一种代表资源拥有者访问受保护资源的方法。在节点服务访问受保护资源之前,它必须先从资源拥有者获取授权(访问许可),然后用访问许可交换授权码(Code)和访问令牌(Access Token,包含许可的作用域、持续时间和其它属性等信息)。节点服务通过向资源服务器出示访问令牌来访问受保护资源。访问令牌提供了一个抽象层,将不同的授权结构(如用户名密码)替换成资源服务器可以理解的单一访问令牌。这种抽象使得分发短期有效的访问令牌成为可能,也使得资源服务器不必理解多种多样的授权机制如图7。
节点应用系统分别与客户端(图7中浏览器)和接入认证模块(图7中接入认证系统)通信连接,单点登录OATH2.0-认证流程具体包括以下步骤:
S1、用户访问接入认证模块,并点击节点应用系统图像。
S2、接入认证模块生成授权码code。
S3、重定向至redirectUrl+授权码code。
S4、携带授权码code换取令牌token。
S5、检验授权码的有效性生成令牌token信息。
S6、响应令牌token信息。
S7、携带token后天查询用户信息。
S8、生成assertion用户信息。
S9、返回assertion用户信息。
S10、根据用户权限,返回浏览器服务页面。
本发明中的多协议标识解析技术,支持标准的协议查询服务,实现DNS、OID、HANDLE协议的标识解析,并将上述标识解析能力进行了集中化处理,并对查询数据的终端展示进行了格式化处理。
本发明中将接入认证模块、协议转发系统、节点系统通过接口流程,实现了多协议标识解析节点接入认证,通过节点接入认证的鉴权,增加了标识解析过程的安全性;使用协议转发系统的DNS转发系统和HANDLE转发系统功能及组包模块、缓存模块,将多种协议的标识解析进行整合,极大的提高了标识解析的查询速率。
本发明中,接入认证模块负责做认证鉴权、单点登录及标识解析查询,协议转发系统负责标识解析参数校验及协议转发到节点系统,节点系统负责标识解析相关参数校验及响应解析结果。结合图2具体描述协议转发法的具体流程。
步骤1:用户操作标识解析查询业务(图2中的1),浏览器/客户端(对应认证模块的授权方式)调用接入认证模块来标识解析服务(图2中的2)。
步骤2:调用的接入认证模块判断当前浏览器是否有用户登录。
若存在登录会话(用户登录信息)(图2中的3.2),携带token信息调用标识解析查询接口(图2中的6)。
若无登录会话(图2中的3.1),直接调用匿名标识解析查询接口(图2中的4)。
步骤3:对携带token信息的标识解析参数校验,调用接入认证模块的递归寻址查询接口(图2中的9)。标识解析参数校验包括信息请求来源、信息请求目的地和信息请求类型。
其中,当存在token参数(用户身份信息)时,首先调用接入认证模块的token校验接口,以获取用户信息,再调用接入认证模块的递归寻址查询接口,并获取递归寻址信息(图2中的7和8)。
步骤4:获取递归寻址信息后,调用节点token获取接口(图2中的13),基于token参数,生成token信息。
token参数是指token信息生成时的依据或变量参数,即拥有token者的身份信息。
其中,在获取递归寻址信息后,调用寻址鉴权接口,对token信息进行校验,获取响应寻址信息,再接入信源token获取接口,以生成token信息(图2中的14)。
步骤5:调用节点token验证接口,对token信息进行校验(图2中的17)。
其中,在获取token信息后(图2中15),调用节点token验证接口(16),对token进行校验,获取验证结果(图2中的18)。
步骤6:调用节点标识解析查询接口(图2中的19)对token进行解析查询,生成token标识解析查询结果信息(图2中的20)。
步骤7:通过数字签名,对token标识解析查询结果进行数据真实性校验,校验数据是否真实有效(图2中的21和22),获得标识解析查询结果。
步骤8:将token标识解析查询结果进行格式化处理,在浏览器/客户端中展示标识解析查询结果。
如图3所示,判断当前浏览器是否有用户登录,具体包括以下步骤:
步骤2.1在服务端创建一个session。具体为在浏览器服务端创建一个session。
步骤2.2当用户登录成功后,获取用户信息,并将用户信息放置在session里,浏览器服务端会把sessionID返回给用户的浏览器,当浏览器接收到这个cookie后,用户再访问网站的URL地址时,浏览器会把这个网站下的cookies全部发送给浏览器服务端。
步骤2.3浏览器服务端检查cookies里是否存在sessionID。
步骤2.4根据sessionID找到session,然后再判断session里是否存在用户信息,有则用户已登录,反之就是没登录。
步骤2.5当用户登录后在浏览器主页main里面添加iframe,其中,iframe中url为指定页面page1,该指定页面用js脚本15秒调用一次,在列表中找到用户并刷新该用户当前时间,另外还需要线程来实时的扫描列表如果取当前时间和最后时间对比超过15秒则判断用户已退出登录。
本发明提供了一种支持多协议标识解析查询节点接入认证系统,采用兼容多种协议的标识解析查询、标识解析协议模块化转发、数字签名验证、OAUTH2.0认证架构等方式,将标识解析查询和节点认证做分层次逻辑处理。具体为:
本发明将节点接入认证的流程进行集中式管理,将各节点的认证能力分离出来,进行统一集中建设,实现架构的松耦合化,统一了各节点的认证鉴权流程,减少了用户重复输入账号和密码的繁琐操作,有效的提升了用户体验,进一步提高了用户对节点系统的认知度和使用率。
本发明基于业务逻辑属性,将转发系统分解为DNS协议识别系统、OID协议识别系统和HANDLE协议识别系统,提供标准DNS协议、OID协议、HANDLE协议的标识解析查询服务,同时提供基于HTTP协议的安全认证,协议查询等。
本发明采用组包模块设计,组包模块随每一个涉及到组包线程独立配置,每个线程间使用各自独立的组包数据结构对象,涉及到的线程有:请求收包线程,转发响应的收包线程。组包操作在红黑树上实现,以实现快速的索引,提高了标识解析查询的效率。
本发明采用缓存模块设计,通过将标识解析查询信息和查询结果存储在redis或memcached缓存服务中,在大批量查询请求的情况下,本发明可以降低频繁与节点交互的次数,有助于提升工业互联网标识解析缓存的工作效率。
如图8所示,本发明一种支持多协议标识解析的节点接入认证方法应用一种支持多协议标识解析的节点接入认证系统,具体步骤包括:
步骤201:通过客户端获取用户操作标识解析查询业务和用户身份信息。
步骤202:通过接入认证模块获取客户端的类型,并根据客户端的类型选用与客户端的类型对应的授权方式,采用与客户端对应的授权方式对用户身份信息进行认证,根据操作标识解析查询业务获取标识解析节点参数信息,将用户的身份信息和标识解析节点参数信息发送到协议转发系统。
步骤203:通过协议转发系统对标识解析节点参数信息进行校验,根据标识解析节点参数信息确定转发协议,将用户的身份信息和标识解析节点参数信息以转发协议转发到节点系统。
步骤204:通过节点系统对用户的身份信息进行校验,根据用户的身份信息和标识解析节点参数信息获得标识解析查询结果。
步骤205:通过节点系统对标识解析查询结果进行数字签名,并将数字签名后的标识解析查询结果发送到协议转发系统。
步骤206:通过协议转发系统对数字签名后的标识解析查询结果进行真实性的验证,并将标识解析查询结果通过接入认证模块发送到客户端。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (7)

1.一种支持多协议标识解析的节点接入认证系统,其特征在于,包括:客户端、接入认证模块、协议转发系统和节点系统;所述客户端与所述接入认证模块通信连接,所述接入认证模块与所述协议转发系统通信连接,所述协议转发系统与所述节点系统通信连接;
所述客户端用于获取用户操作标识解析查询业务和用户身份信息;
所述接入认证模块用于获取所述客户端的类型,并根据所述客户端的类型选用与所述客户端的类型对应的授权方式,采用与所述客户端对应的授权方式对用户身份信息进行认证,根据操作标识解析查询业务获取标识解析节点参数信息,将所述用户的身份信息和标识解析节点参数信息发送到所述协议转发系统;
所述协议转发系统用于对所述标识解析节点参数信息进行校验,根据所述标识解析节点参数信息确定转发协议,将所述用户的身份信息和所述标识解析节点参数信息以所述转发协议转发到节点系统;
所述节点系统用于对所述用户的身份信息进行校验,根据所述用户的身份信息和所述标识解析节点参数信息获得标识解析查询结果;
所述节点系统还用于对标识解析查询结果进行数字签名,并将数字签名后的标识解析查询结果发送到所述协议转发系统;所述协议转发系统还用于对数字签名后的标识解析查询结果进行真实性的验证,并将所述标识解析查询结果通过所述接入认证模块发送到所述客户端;
协议转发系统包括DNS协议识别系统、OID协议识别系统和HANDLE协议识别系统;
DNS协议识别系统用于DNS协议转发、DNS数据缓存以及提供标准的DNS协议查询服务;
OID协议识别系统用于OID协议转发、OID数据缓存以及提供标准的OID协议查询服务;
HANDLE协议识别系统用于HANDLE协议的转发,HANDLE数据的缓存,提供标准的HANDLE协议查询服务,同时提供基于HTTP协议的安全认证,协议查询。
2.根据权利要求1所述的支持多协议标识解析节点接入认证系统,其特征在于,所述接入认证模块的授权方式包括Authorization Code、Implicit Grant、Resource OwnerPassword Credentials和Client Credentials。
3.根据权利要求1所述的支持多协议标识解析节点接入认证系统,其特征在于,所述协议转发系统包括组包模块,所述组包模块随每个组包线程独立配置,各线程间采用独立的组包数据结构对象,并通过红黑树实现组包操作。
4.根据权利要求3所述的支持多协议标识解析节点接入认证系统,其特征在于,所述组包线程包括请求收包线程和转发响应的收包线程。
5.根据权利要求1所述的支持多协议标识解析节点接入认证系统,其特征在于,所述协议转发系统还包括缓存模块,所述缓存模块用于将所述标识解析节点参数信息和所述标识解析查询结果存储在redis或memcached的缓存服务中。
6.根据权利要求1所述的支持多协议标识解析节点接入认证系统,其特征在于,所述接入认证模块还用于判断所述客户端是否存在用户登录信息;若存在用户登录信息,则将token信息发送到所述协议转发系统,所述token信息包括用户身份信息。
7.一种支持多协议标识解析的节点接入认证方法,其特征在于,包括:
通过客户端获取用户操作标识解析查询业务和用户身份信息;
通过接入认证模块获取所述客户端的类型,并根据所述客户端的类型选用与所述客户端的类型对应的授权方式,采用与所述客户端对应的授权方式对用户身份信息进行认证,根据操作标识解析查询业务获取标识解析节点参数信息,将所述用户的身份信息和标识解析节点参数信息发送到协议转发系统;
通过协议转发系统对所述标识解析节点参数信息进行校验,根据所述标识解析节点参数信息确定转发协议,将所述用户的身份信息和所述标识解析节点参数信息以所述转发协议转发到节点系统;
通过节点系统对所述用户的身份信息进行校验,根据所述用户的身份信息和所述标识解析节点参数信息获得标识解析查询结果;
通过节点系统对标识解析查询结果进行数字签名,并将数字签名后的标识解析查询结果发送到所述协议转发系统;
通过所述协议转发系统对数字签名后的标识解析查询结果进行真实性的验证,并将所述标识解析查询结果通过所述接入认证模块发送到所述客户端;
协议转发系统包括DNS协议识别系统、OID协议识别系统和HANDLE协议识别系统;
DNS协议识别系统用于DNS协议转发、DNS数据缓存以及提供标准的DNS协议查询服务;
OID协议识别系统用于OID协议转发、OID数据缓存以及提供标准的OID协议查询服务;
HANDLE协议识别系统用于HANDLE协议的转发,HANDLE数据的缓存,提供标准的HANDLE协议查询服务,同时提供基于HTTP协议的安全认证,协议查询。
CN202110864560.1A 2021-07-29 2021-07-29 一种支持多协议标识解析的节点接入认证方法及系统 Active CN113542300B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110864560.1A CN113542300B (zh) 2021-07-29 2021-07-29 一种支持多协议标识解析的节点接入认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110864560.1A CN113542300B (zh) 2021-07-29 2021-07-29 一种支持多协议标识解析的节点接入认证方法及系统

Publications (2)

Publication Number Publication Date
CN113542300A CN113542300A (zh) 2021-10-22
CN113542300B true CN113542300B (zh) 2022-04-01

Family

ID=78089654

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110864560.1A Active CN113542300B (zh) 2021-07-29 2021-07-29 一种支持多协议标识解析的节点接入认证方法及系统

Country Status (1)

Country Link
CN (1) CN113542300B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114268487A (zh) * 2021-12-20 2022-04-01 中国电信股份有限公司 基于工业标识节点的权限控制方法和装置
CN114301870A (zh) * 2021-12-28 2022-04-08 中国电信股份有限公司 用户身份标识管理方法及相关产品
CN117650944A (zh) * 2024-01-25 2024-03-05 中国信息通信研究院 工业互联网标识解析方法、系统、电子设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104639559B (zh) * 2015-02-27 2018-04-03 飞天诚信科技股份有限公司 一种支持多种认证协议的认证方法、认证服务器及系统
CN105763426B (zh) * 2016-04-12 2018-04-06 北京理工大学 一种基于多协议即时通信系统的物联网业务处理系统
US10757103B2 (en) * 2017-04-11 2020-08-25 Xage Security, Inc. Single authentication portal for diverse industrial network protocols across multiple OSI layers
CN112800411B (zh) * 2021-02-19 2023-04-14 浪潮云信息技术股份公司 支持多协议、多方式的安全可靠身份认证方法及装置

Also Published As

Publication number Publication date
CN113542300A (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
CN113542300B (zh) 一种支持多协议标识解析的节点接入认证方法及系统
CN108306877B (zh) 基于node js的用户身份信息的验证方法、装置和存储介质
Groß Security analysis of the SAML single sign-on browser/artifact profile
US7483384B2 (en) System and method for monitoring network traffic
US9027089B2 (en) Method and system for providing internet services
EP2702726B1 (en) System and method for data interception and authentication with reverse proxy
US9100365B2 (en) Web application process
CN112613010A (zh) 一种认证服务方法、装置、服务器及认证服务系统
Miculan et al. Formal analysis of Facebook Connect single sign-on authentication protocol
EP1931114B1 (en) Method and apparatus for detecting the IP address of a computer and location information associated therewith
US10630574B2 (en) Link processing method, apparatus, and system
CN105554098A (zh) 一种设备配置方法、服务器及系统
CN1820481A (zh) 在客户机-服务器环境中认证客户机的系统和方法
MX2011003223A (es) Acceso al proveedor de servicio.
CN112491881A (zh) 跨平台单点登录方法、系统、电子设备及存储介质
US9401908B1 (en) Authentication interworking in communications networks
CN111818088A (zh) 授权模式管理方法、装置、计算机设备及可读存储介质
WO2022057002A1 (zh) 一种异常请求处理方法和装置
CN110730189B (zh) 一种通信认证方法、装置、设备及存储介质
CN116484338A (zh) 数据库访问方法及装置
CN108683651B (zh) 一种单点登录方法、服务端及系统
CN114513370B (zh) 通用的标识数据转换方法和装置、存储介质、电子设备
CN111984958B (zh) 一种支持vnc双因子的认证方法
CN114500031B (zh) 基于单点登录获取bi报表的系统、方法、电子设备及介质
CN113507450B (zh) 一种基于参数特征向量的内外网数据过滤方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant