CN114239010A - 一种多节点分布式认证方法、系统、电子设备及介质 - Google Patents
一种多节点分布式认证方法、系统、电子设备及介质 Download PDFInfo
- Publication number
- CN114239010A CN114239010A CN202111486950.6A CN202111486950A CN114239010A CN 114239010 A CN114239010 A CN 114239010A CN 202111486950 A CN202111486950 A CN 202111486950A CN 114239010 A CN114239010 A CN 114239010A
- Authority
- CN
- China
- Prior art keywords
- public key
- node
- system node
- authentication
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 132
- 230000008569 process Effects 0.000 claims description 65
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 12
- 238000012795 verification Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种多节点分布式认证方法、系统、电子设备及介质,管理中心基于第一公钥、第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点;待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求;已连接系统节点获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;若第一认证结果为通过,建立待连接系统节点与已连接系统节点的连接。这样不仅提高接入系统的安全系数,还减小管理中心认证的资源开销。
Description
技术领域
本公开涉及网络通信技术领域,尤其涉及一种多节点分布式认证方法、系统、电子设备及介质。
背景技术
现有的网络通信技术领域中,为实现端到端之间的通信,往往会利用各地的计算机资源形成一个通信网络。
在这个通信网络中包括许多网络节点,网络节点包括系统节点和用户节点,这些系统节点和用户节点裸露在公网中,对外提供计算能力或者转发能力。如果这些系统节点和用户节点不做连接验证,就很容易受到不同程度的网络攻击,从而造成失去可用节点或者丢失数据等后果。
目前,针对这样的通信网络都会在相邻两个节点相连时选择相应一个认证方案,例如,相连的系统节点与用户节点选择的认证方案和相连的两个系统节点选择的认证方案相同,这样的方式的认证过程中产生的数据流量巨大,给各节点产生巨大的压力。
现有技术中并没有系统节点与系统节点之间的各个节点通过统一认证方式进行认证,因此,如何设计一种系统节点统一认证方法是目前亟需解决的技术问题。
发明内容
为了解决上述问题,本公开提供了一种多节点分布式认证方法,系统节点的接入身份认证过程不仅提高接入系统的安全系数,还减小管理中心认证的资源开销。
第一方面,本公开实施例提供了一种多节点分布式认证方法,应用于多节点分布式认证系统,多节点分布式认证系统包括管理中心和系统节点,包括:
管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点;
待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求;
已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;
在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。
一种可选的实施方式中,还包括:
待连接系统节点基于第一私钥对公共密钥进行加密生成第二认证信息后向管理中心发送第二连接请求;
管理中心对第二连接请求进行处理,获取第二认证信息,基于第一公钥对第二认证信息进行解密处理,获取第二待认证公共密钥,并将第二待认证公共密钥和公共密钥进行对比,生成第二认证结果;
在第二认证结果为通过的情况下,建立待连接系统节点与管理中心的连接。
一种可选的实施方式中,还包括:
在生成第一认证信息或第二认证信息后,选择目标协议按照预设方式添加到第一认证信息或第二认证信息中。
一种可选的实施方式中,还包括:
在建立待连接系统节点与管理中心的连接后,已连接系统节点向待连接系统节点发送添加目标协议的标识数据包。
一种可选的实施方式中,多节点分布式认证系统还包括用户节点,该方法还包括:
管理中心获取待连接用户节点的第三公钥和机器码,基于第三公钥、机器码、已连接系统节点的第二公钥和公共密钥生成第二配置文件并下发给待连接用户节点和已连接系统节点;
待连接用户节点基于第二配置文件,获取第二公钥和公共密钥,并基于第二公钥和第三私钥对公共密钥进行加密生成第三认证信息后向已连接系统节点发送第三连接请求;
已连接系统节点对第三连接请求进行处理,获取第三认证信息,基于第二私钥和第三公钥对第三认证信息进行解密处理,获取第三待认证公共密钥,并将第三待认证公共密钥和公共密钥进行对比,以及将机器码与第二配置文件中的机器码进行对比,生成第三认证结果;
在第三认证结果为通过的情况下,建立待连接用户节点与已连接系统节点的连接。
一种可选的实施方式中,还包括:
在生成第三认证信息后,选择目标协议按照预设方式添加到第三认证信息中。
一种可选的实施方式中,还包括:
在建立待连接用户节点与已连接系统节点的连接后,已连接系统节点向待连接用户节点发送添加目标协议的标识数据包。
第二方面,本公开实施例提供了一种多节点分布式认证系统,包括:管理中心和系统节点,系统节点包括待连接系统节点和已连接系统节点;
管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点;
待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求;
已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;
在第一认证结果为通过的情况下,待连接系统节点与已连接系统节点建立连接。
第三方面,本公开实施例提供了一种电子设备,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述多节点分布式认证方法。
第四方面,本公开实施例提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述多节点分布式认证方法。
本公开实施例提供的技术方案与现有技术相比至少具有如下优点:
首先,管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点;待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求;已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;然后,在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。可见,本公开实施例不仅解决待连接系统节点的接入身份认证问题,有效保证接入系统的待连接系统节点的身份可信性,提高接入系统的安全性。还由于认证信息存储于待连接系统节点,管理中心只需要下发一次认证信息到待连接系统节点,从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为相关技术中的一种多节点分布式认证方法的过程示意图;
图2为本公开实施例提供的一种多节点分布式认证方法的流程示意图;
图3为本公开实施例提供的一种多节点分布式认证方法的过程示意图;
图4为本公开实施例提供的另一种多节点分布式认证方法的流程示意图;
图5为本公开实施例提供的bt-utp协议混淆的认证信息流量图。
图6为本公开实施例提供的另一种多节点分布式认证方法的流程示意图;
图7为本公开实施例提供的另一种多节点分布式认证方法的过程示意图;
图8为本公开实施例提供的一种多节点分布式认证系统的结构示意图;
图9为本公开实施例提供的一种多节点分布式认证设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
目前,一种相关技术中,网络节点的通信目前使用接入验证方式是通过将网络中所有节点信息上传到一个服务器中,由服务器对待接入点进行验证,再将结果返回给已连接节点,从而实现待连接系统节点与已连接系统节点的连接。
图1为相关技术中一种多节点分布式认证方法的过程示意图,以节点A和系统节点B连接认证过程为例,其中,节点A可以是用户节点,还可以是系统节点,以下假设节点A是用户节点,具体的认证步骤如下:1、系统节点B向服务器上报自身信息;2、用户节点A向服务器上报连接请求,服务器验证用户节点A是否有接入权限;3、服务器向系统节点B返回验证结果;4、用户节点A向系统节点B发起请求连接;5、系统节点B通过服务器返回的认证结果确定用户节点A是否接入。
由于这种方法需要不断的向服务器进行同步,例如,系统节点向服务器上报自身信息,这样会出现资源占用率高,并且所有节点都是通过服务器进行验证,会造成服务器压力大,另外,由于所有的认证消息都由服务器进行保存,当服务器受到攻击时,将会影响整个通信网络的运作能力。
另一种相关技术中,认证方法应用于网络集群,网络集群包含若干节点。这种方法包括新增节点模块、探测模块、节点认证模块,通过贪婪算法获取新增节点与网络集群未认证节点之间的最优路径,然后再根据最优路径依次完成未认证节点与新增节点的认证。
具体的,节点封装包含认证信息的认证信息数据包,确定离新增节点最近的系统节点,向离待认证节点最近的系统节点发起连接请求,认证成功后,以第二节点为起点,向离第二节点最近的节点发起请求,直到将系统节点中未认证的节点全部认证。这个认证方法中由于需要不断的向多个节点进行多次认证,认证过程复杂,从而在认证过程中产生的数据流量巨大,给各节点产生巨大的压力。
可见,相关技术中并不能解决如何设计一种系统节点统一认证方法的问题,进而基于该方法减少认证过程中产生的数据流量。
为此,本公开实施例提供了一种多节点分布式认证方法,首先,管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点;待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求;已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。
可见,本公开实施例不仅解决待连接系统节点的接入身份认证问题,有效保证接入系统的待连接系统节点的身份可信性,提高接入系统的安全性。还由于认证信息存储于待连接系统节点,管理中心只需要下发一次认证信息到待连接系统节点,从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
基于此,本公开实施例提供了多节点分布式认证方法,该方法应用于多节点分布式认证系统,该多节点分布式认证系统包括管理中心和系统节点,图2为本公开实施例提供的一种多节点分布式认证方法的流程示意图,该方法包括:
S201、管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点。
在本公开实施例中,管理中心负责系统节点配置文件的生成,关闭管理中心后,不会影响已连接系统节点对数据的转发,只是在关闭管理中心后,新增节点不能接入此系统。
本公开实施例中,管理中心不同于服务器,假设多节点分布式认证方法应用于服务器,系统中的所有节点都会依赖服务器进行数据转发,如果关闭服务器,整个系统都不能正常使用。
本公开实施例中,系统节点是指由部署在通信网络中的节点,其功能主要负责数据的转发。其中,未与多节点分布式认证系统建立连接的节点为待连接系统节点,已经与多节点分布式认证系统建立连接的节点为已连接系统节点。
本公开实施例中,公钥通常用于加密可以用相应的私钥解密的数据,私钥用于加密和解密数据,其中,用公钥加密的数据只有对应的私钥可以解密;用私钥加密的数据只有对应的公钥可以解密。
本公开实施例中,公共密钥可以理解为一串字符串,可以为文本、数字和字符一个或者多个组合,具体地,公共密钥是系统节点成功接入系统后,由管理中心生成并下发到系统节点,由系统节点进行保存,用于系统节点认证过程中对接收到其它系统节点发送的认证信息中的公共密钥和已存储的管理中心发送的公共密钥进行对比,从而确定系统节点之间是否建立连接。
通常情况下,每个系统节点在与管理中心连接后会接收到管理中心发送的一个配置文件,其中,配置文件由管理中心生成,通常,配置文件中包括待连接系统节点的公钥、已连接系统节点的公钥和公共密钥等,或者配置文件中包括待连接用户节点的公钥、已连接系统节点的公钥和公共密钥等。其中,已连接系统节点可以为一个或者多个。
实际应用中,管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件。
图3为本公开实施例提供的一种多节点分布式认证方法的过程示意图。
假设系统节点A为待连接系统节点,系统节点B为已连接系统节点,其中,系统节点A连接系统节点B的认证过程如图3所示。本公开实施例中以下内容以待连接系统节点A对已连接系统节点B的连接认证过程为例进行说明。
首先,初始化待连接系统节点A,生成待连接系统节点A的第一公钥和第一私钥。管理中心存储了已连接系统节点B的第二公钥。
一种可选的实施方式中,如图3所示的步骤1,管理员将待连接系统节点A的第一公钥上报到管理中心,管理中心获取待连接系统节点A的第一公钥,基于第一公钥、已连接系统节点B的第二公钥和公共密钥生成第一配置文件,并将该配置文件发送给与管理中心连接的各个系统节点。其中,第一配置文件中包括待连接系统节点A的公钥信息、已连接的节点B的公钥信息和公共密钥等信息。例如,待连接系统节点A和已连接系统节点B都接收到管理中心发送的第一配置文件,第一配置文件包含待连接系统节点A的第一公钥、已连接系统节点B的第二公钥和公共密钥。
实际应用中,管理中心在生成第一配置文件后,将第一配置文件下发给待连接系统节点和已连接系统节点,使每个系统节点获得第一配置文件。如图3所示的步骤2,管理中心下发第一配置文件给已连接系统节点B。另外,如图3所示的步骤3,管理中心下发第一配置文件给待连接系统节点A。
S202、待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求。
继续以图3为例进行详细说明,待连接系统节点A基于第一配置文件,获取已连接系统节点B的第二公钥和公共密钥,并基于已连接系统节点B的第二公钥和待连接系统节点A的第一私钥对公共密钥进行加密,并生成第一认证信息。
实际应用中,待连接系统节点生成第一认证信息后向已连接系统节点发送第一连接请求;例如,生成第一认证信息后,待连接系统节点A向已连接系统节点B发送第一连接请求。
S203、已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果。
继续以图3为例进行详细说明,由于待连接系统节点A基于已连接系统节点B的第二公钥和待连接系统节点A的第一私钥对公共密钥进行加密生成第一认证信息,当待连接系统节点A生成第一认证信息后,向已连接系统节点B发送第一连接请求时,需要基于第二私钥和第一公钥对第一认证信息进行解密处理,才能获取第一待认证公共密钥。本公开实施例中,由于已连接系统节点对待连接系统节点进行身份验证,有效保证接入系统的网络节点的身份可信性。
本公开实施例中,已连接系统节点在获取第一待认证公共密钥后,并将第一待认证公共密钥和已连接系统节点接收到配置文件中的公共密钥进行对比,生成第一认证结果。
S204、在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。
继续以图3为例进行详细说明,已连接系统节点B对待连接系统节点A的身份进行验证,在第一认证结果为通过的情况下,建立待连接系统节点A与已连接系统节点B的连接。
具体的,管理中心也向已连接系统节点B发送了第一配置文件,只需要已连接系统节点B比对第一待认证公共密钥和已连接系统节点B接收到第一配置文件中的公共密钥是否一致即可,在认证结果为通过的情况下,建立待连接系统节点A与已连接系统节点B的连接。否则,在第一认证结果为不通过的情况下,不建立待连接系统节点A与连接系统节点B的连接。
本公开实施例中,由于已连接系统节点对待连接系统节点进行身份验证,有效保证接入系统的网络节点的身份可信性。另外,上述待连接系统节点与已连接系统节点的连接过程,认证信息存储于待接入节点,管理中心只需要下发一次认证信息到待连接系统节点;从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
本公开实施例提供了的多节点分布式认证方法,可应用于全自主定义隐匿网络通信系统,其中,网络通信系统中包括VPN服务器和系统节点,具体的流程如下:
待连接系统节点启动,底层生成唯一的设备公钥,复制公钥到VPN服务器生成系统节点的唯一配置文件,待连接系统节点通过解析配置文件,获取已连接系统节点的公钥信息。待连接系统节点与已连接系统节点之间建立隧道,通过隧道传输数据流量。待连接系统节点将自己的认证信息通过公钥进行加密,通过隧道发送到已连接系统节点,已连接系统节点获取信息验证成功后,双方建立连接。
在成功建立连接后,已连接系统节点的数据通过虚拟网卡(tun)发送到VPN客户端,经过VPN客户端加密,通过物理网卡发送到VPN服务器。VPN服务器接收到数据后,首先,将数据进行解密,判断数据是否发送给自己,如果是发送给自己的数据,在VPN服务器中做出相应的处理,如果不是发送给自己的数据,VPN服务器会将数据转发到相应的上层应用。
本公开实例基于全自主定义隐匿网络通信系统,能有效的对网络系统内的系统节点进行验证,从而提高整个系统的部署能力和安全能力。
本公开实施例提供了一种多节点分布式认证方法,首先,管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点;待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求;已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。
可见,本公开实施例不仅解决待连接系统节点的接入身份认证问题,有效保证接入系统的待连接系统节点的身份可信性,提高接入系统的安全性。还由于认证信息存储于待连接系统节点,管理中心只需要下发一次认证信息到待连接系统节点,从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
基于上述实施例描述的内容,本公开实施例提供了另一种多节点分布式认证方法,图4为本公开实施例提供的另一种多节点分布式认证方法的流程示意图,该方法包括:
S401、管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点。
S402、待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求。
S403、已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果。
S404、在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。
需要说明的是,S401-S404与上述S201-S204相同,具体S401-S404的描述参见对S201-S204的描述进行理解,在此不再赘述。
继续以图3为例进行详细说明,假设系统节点C为待连接系统节点,本公开实施例中以下内容以待连接系统节点C对管理中心的连接认证过程为例进行说明。
S405、待连接系统节点基于第一私钥对公共密钥进行加密生成第二认证信息后向管理中心发送第二连接请求。
继续以图3为例进行详细说明,初始化待连接系统节点C,生成待连接系统节点C的第一公钥和第一私钥。待连接系统节点C基于第一私钥对公共密钥进行加密生成第二认证信息后,待连接系统节点C向管理中心发送与管理中心建立连接的第二连接请求。
S406、管理中心对第二连接请求进行处理,获取第二认证信息,基于第一公钥对第二认证信息进行解密处理,获取第二待认证公共密钥,并将第二待认证公共密钥和公共密钥进行对比,生成第二认证结果。
由于待连接系统节点C基于第一私钥对公共密钥进行加密生成第二认证信息,当待连接系统节点C生成第一认证信息后,向管理中心发送第二连接请求时,需要对第二连接请求进行处理,获取第二认证信息,基于第一公钥对第二认证信息进行解密处理,获取第二待认证公共密钥。
本公开实施例中,管理中心在获取第二待认证公共密钥后,将第二待认证公共密钥和管理中心生成配置文件中的公共密钥进行对比,生成第二认证结果。
S407、在第二认证结果为通过的情况下,建立待连接系统节点与管理中心的连接。
继续以图3为例进行详细说明,管理中心对待连接系统节点C的身份进行验证,只需要管理中心比对第二认证公共密钥和管理中心生成的配置文件中的公共密钥是否一致即可,在第二认证结果为通过的情况下,建立待连接系统节点C与管理中心的连接。否则,在第二认证结果为不通过的情况下,不建立待连接系统节点C与管理中心的连接。
本公开实施例中,对于通信网络中的系统节点认证统一使用公钥和私钥验证,便于系统节点的批量部署,同时也保证系统节点的安全性。由于已连接系统节点对待连接系统节点进行身份验证,有效保证接入系统的网络节点的身份可信性,提高接入系统的安全性。还由于认证信息存储于待连接系统节点,管理中心只需要下发一次认证信息到待连接系统节点,从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
一种可选的实施例中,在生成第一认证信息或第二认证信息后,选择目标协议按照预设方式添加到第一认证信息或第二认证信息中。
一种可选的实施方式中,选择目标协议按照预设方式添加到第一认证信息中。假设待连接的系统节点是上述实施例中的系统节点A,已连接的系统节点是上述实施例中的系统节点B。对第一认证信息添加协议混淆,待连接的系统节点A会根据第一配置文件所属的配置属性从bt-utp、rtp、udt中固定或者随机选择一种协议作为目标协议,并将选择目标协议按照预设方式添加到第一认证信息中。
示例性的,选择bt-utp协议混淆后的第一认证信息在网络中的数据格式如图5所示;图5为本公开实施例提供的bt-utp协议混淆的认证信息流量图。
其中,第一配置文件所属的配置属性主要是对系统节点的属性进行配置,例如,系统节点的类型是系统节点还是用户节点、管理中心的公共密钥、使用哪种协议混淆等。
实际应用中,固定协议是使用一种协议对认证信息进行混淆,随机协议是随机在bt-utp、rtp、udt三种协议中选择其中一种协议进行混淆。如果不使用协议混淆的话,流量在网络中传输,通过防火墙时会被识别为未知流量,从而丢弃这个流量包。而使用协议混淆后,当我们的认证流量包到达防火墙时,防火墙就把我们的认证流量识别为bt-utp、rtp、udt这些协议了,就可以通过防火墙了。
本公开实施例中,由于对认证信息中进行了协议混淆,有效避免了认证消息在网络传输中被防火墙等软件识别为非法流量而丢失的问题。
一种可选的实施方式中,待连接的系统节点A向已连接的系统节点B发送连接请求,并携带已加密的认证信息;
已连接的系统节点B接收待连接的系统节点A的认证消息,首先是处理认证信息中的协议混淆,然后基于已连接的系统节点B的第二私钥和待连接的系统节点A的第一公钥解密认证消息。
实际应用中,可通过以下方式获取到认证信息,具体的,bt-utp、rtp、udt这些协议都会有自己的特殊格式,已连接的系统节点B通过对认证流量特征的识别,就能知道使用的是哪种协议进行混淆的(比如rtp协议的第一个数是协议版本号固定为(2),当识别成功协议后,通过协议的格式,已连接的系统节点B知道认证流量中的认证信息在这个流量的具体位置,所以就可以直接获取到认证信息了。
另一种可选的实施方式中,选择目标协议按照预设方式添加到第二认证信息中。假设待连接系统节点C,则待连接系统节点C向管理中心建立连接的过程中,选择目标协议添加到第二认证信息中的方式可参考上文中对选择目标协议添加到第一认证信息中的方式,在此不在赘述。
本公开实施例中,在建立待连接系统节点与管理中心的连接后,已连接系统节点向待连接系统节点发送添加目标协议的标识数据包。
一种可选的实施方式中,在建立待连接系统节点与管理中心的连接后,已连接系统节点会向待接入系统节点回复一个混淆KEY包。其中KEY包为一个标识,用于表征待连接系统节点已经验证成功了。
在实际应用中,待连接系统节点与已连接系统节点建立连接的步骤如下:
步骤1:在本地安装待连接系统节点软件包后,软件通过算法生成自己的公钥和私钥,由管理员复制公钥到管理中心生成配置文件。
步骤2:管理中心主动向已连接系统节点推送待连接系统节点信息,已连接系统节点收到推送消息,将待连接系统节点信息保存在本地配置文件中,以保证重启后待连接系统节点信息不丢失,其中,推送消息包括待连接系统节点的公钥信息、已连接系统节点的公钥信息和公用密钥。
步骤3:待连接系统节点加载由步骤1管理中心生成的配置文件后,解析出配置文件中的接入信息,接入信息包括已连接系统节点的公钥等信息,由此可用确定向哪一个节点发起连接请求。
步骤4:待连接系统节点通过自己的私钥和已连接系统节点的公钥加密验证信息后,向已连接系统节点发起连接请求,首先,向已连接系统节点发送一个经过混淆的HELLO包。
步骤5:已连接系统节点接收到HELLO包后,对HELLO包中的混淆进行处理后,通过自己的私钥和待连接系统节点的公钥对HELLO包进行解密,得到待连接系统节点的验证信息,再将此信息与步骤2中保存的信息进行比对,成功后已连接系统节点会向待连接系统节点回复一个混淆KEY包。其中KEY包就是一个标识,代表待连接系统节点已经验证成功了。
步骤6:待连接系统节点收到KEY包,对KEY包中的混淆进行处理后,确定已连接系统节点已经接收到自己发出的HELLO包了,并向已连接系统节点发送一个OK消息后,此时两节点就已经建立起了连接了。
本公开实施例提供了一种多节点分布式认证方法,首先,管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点;待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求;已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。另外,待连接系统节点基于第一私钥对公共密钥进行加密生成第二认证信息后向管理中心发送第二连接请求;管理中心对第二连接请求进行处理,获取第二认证信息,基于第一公钥对第二认证信息进行解密处理,获取第二待认证公共密钥,并将第二待认证公共密钥和公共密钥进行对比,生成第二认证结果;在第二认证结果为通过的情况下,建立待连接系统节点与管理中心的连接。
可见,本公开实施例中,对于通信网络中的系统节点认证统一使用公钥和私钥验证,便于系统节点的批量部署,降低人工成本。由于已连接系统节点对待连接系统节点进行身份验证,有效保证接入系统的网络节点的身份可信性,提高接入系统的安全性。还由于认证信息存储于待连接系统节点,管理中心只需要下发一次认证信息到待连接系统节点;从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
在上述实施例的基础上,为了提高用户节点接入多节点分布式认证系统的安全系数,减少认证过程中产生的数据流量。本公开实施例还提供了另一种多节点分布式认证方法,其中,多节点分布式认证系统包括用户节点,用户节点的接入使用独立的认证方式。图6为本公开实施例提供的另一种多节点分布式认证方法的流程示意图,该方法包括:
S601、管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点。
S602、待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求。
S603、已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果。
S604、在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。
需要说明的是,S601-S604与上述S201-S204相同,具体S601-S604的描述参见对S201-S204的描述进行理解,在此不再赘述。
S605、管理中心获取待连接用户节点的第三公钥和机器码,基于第三公钥、机器码、已连接系统节点的第二公钥和公共密钥生成第二配置文件并下发给待连接用户节点和已连接系统节点。
图7为本公开实施例提供的另一种多节点分布式认证方法的过程示意图。
假设用户节点为待连接系统节点,系统节点B为已连接系统节点,其中,用户节点连接系统节点B的认证过程如图7所示。
本公开实施例中,用户节点由用户使用终端接入,用于将数据发送到系统节点,通过系统节点对数据进行转发。
首先,如图7中的步骤1所示,初始化用户节点,生成用户节点的第三公钥和第三私钥,并通过获取PC(personal computer,个人计算机)的CPUID等信息生成唯一机器码。管理员将用户节点的第三公钥和机器码复制到管理中心。管理中心基于第三公钥、机器码、已连接系统节点的第二公钥和公共密钥生成第二配置文件,并将该第二配置文件发送给与管理中心连接的用户节点,如图7中的步骤2。其中,该第二配置文件中包括了用户节点的公钥信息、已连接系统节点的第二公钥和公共密钥等信息。管理中心将该第二配置文件发送给已连接系统节点B,如图7中的步骤3。例如,用户节点和已连接系统节点B都接收到管理中心发送的第二配置文件,第二配置文件中就包含了用户节点的第三公钥、机器码、已连接系统节点B的第二公钥和公共密钥。
S606、待连接用户节点基于第二配置文件,获取第二公钥和公共密钥,并基于第二公钥和第三私钥对公共密钥进行加密生成第三认证信息后向已连接系统节点发送第三连接请求。
用户节点基于第二配置文件,获取第二公钥和公共密钥,基于第二公钥和第三私钥对公共密钥进行加密生成第三认证信息的过程,具体步骤与基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息的过程相同,在此不在赘述。
实际应用中,待连接系统节点生成第二认证信息后向已连接系统节点发送第一连接请求;例如,在生成第三认证信息后,用户节点向已连接系统节点B发送第三连接请求。
S607、已连接系统节点对第三连接请求进行处理,获取第三认证信息,基于第二私钥和第三公钥对第三认证信息进行解密处理,获取第三待认证公共密钥,并将第三待认证公共密钥和公共密钥进行对比,以及将机器码与第二配置文件中的机器码进行对比,生成第三认证结果。
继续以图7为例进行详细说明,由于用户节点基于已连接系统节点B的第二公钥和用户节点的第三私钥对公共密钥进行加密生成第三认证信息。在生成第一认证信息后,用户节点向已连接系统节点B发送第三连接请求时,需要基于第二私钥和第三公钥对第三认证信息进行解密处理,才能获取第三待认证公共密钥。
本公开实施例中,已连接系统节点获取第三待认证公共密钥后,并将第三待认证公共密钥和已连接系统节点接收到配置文件中的公共密钥进行对比,生成第三认证结果。
S608、在第三认证结果为通过的情况下,建立待连接用户节点与已连接系统节点的连接。
继续以图7为例进行详细说明,已连接系统节点B对用户节点的身份进行验证,在第三认证结果为通过的情况下,建立用户节点与已连接系统节点B的连接。
具体的,管理中心也向已连接系统节点B发送了第二配置文件,只需要已连接系统节点B比对第三待认证公共密钥和已连接系统节点B接收到第二配置文件中的公共密钥是否一致即可,在认证结果为通过的情况下,建立用户节点与已连接系统节点B的连接。否则,在第三认证结果为不通过的情况下,不建立用户节点与连接系统节点B的连接。
本公开实施例中,用户节点的接入使用独立的认证方式,用户节点通过唯一机器码进行接入验证,提高了接入系统的安全系数。还有,已连接系统节点对用户节点进行身份验证,有效保证接入系统的用户节点的身份可信性。另外,上述用户节点与已连接系统节点的连接过程,认证信息存储于用户节点,管理中心只需要下发一次认证信息到用户节点;从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
一种可选的实施方式中,在生成第三认证信息后,选择目标协议按照预设方式添加到第三认证信息中。
关于选择目标协议按照预设方式添加到第三认证信息中的过程与选择目标协议按照预设方式添加到第一认证信息中过程类似,在此不在赘述。
本公开实施例中,由于对第三认证信息中进行了协议混淆,有效避免了第三认证消息在网络传输中被防火墙等软件识别为非法流量而丢失的问题。
一种可选的实施方式中,在建立待连接用户节点与已连接系统节点的连接后,已连接系统节点向待连接用户节点发送添加目标协议的标识数据包。
具体的,在建立用户节点与已连接系统节点的连接后,已连接系统节点会向用户节点回复一个混淆KEY包。其中KEY包为一个标识,用于表征用户节点已经验证成功了。
在实际应用中,用户与已连接系统节点建立连接的步骤如下:
步骤1:用户在本地安装客户端后,客户端生成自己的公钥和私钥,同时用户通过系统提供的工具获取设备的CPU序列号、磁盘序列号等信息生成唯一机器码,由用户复制公钥和机器码到管理中心生成配置文件。
步骤2:管理中心主动向已连接系统节点推送包括用户节点信息和机器码的配置文件,已连接系统节点收到该配置文件,其中,用户节点信息包括用户节点的公钥信息。将用户节点信息和机器码保存在本地配置文件中,以保证重启后用户节点信息不丢失。
步骤3:本地客户点解析步骤1生成的配置文件,解析出配置文件中的接入信息,并获取本机CPU序列号、磁盘序列号等信息生成唯一机器码。
步骤4:用户节点通过自己的私钥、已连接系统节点的公钥加密验证信息和机器码后,向已连接系统节点发起连接请求,首先,向已连接系统节点发送一个经过混淆的HELLO包。
步骤5:已连接系统节点接收到HELLO包后,对HELLO包中的混淆进行处理后,通过自己的私钥和用户节点的公钥对HELLO进行解密,得到用户节点的验证信息和机器码,再将此信息与步骤2中保存的信息进行比对,成功后已连接系统节点会向用户节点回复一个混淆KEY包。
步骤6:用户节点收到KEY包,对KEY包中的混淆进行处理后,确定已连接系统节点已经接收到自己发出的HELLO包了,并向已连接系统节点发送一个OK消息后,此时用户节点和已连接系统节点就已经建立起了连接了。
本公开实施例提供了一种多节点分布式认证方法,首先,管理中心获取待连接系统节点的第一公钥,基于第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点和已连接系统节点;待连接系统节点基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点发送第一连接请求;已连接系统节点对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;在第一认证结果为通过的情况下,建立待连接系统节点与已连接系统节点的连接。另外,管理中心获取待连接用户节点的第三公钥和机器码,基于第三公钥、机器码、已连接系统节点的第二公钥和公共密钥生成第二配置文件并下发给待连接用户节点和已连接系统节点;待连接用户节点基于第二配置文件,获取第二公钥和公共密钥,并基于第二公钥和第三私钥对公共密钥进行加密生成第三认证信息后向已连接系统节点发送第三连接请求;已连接系统节点对第三连接请求进行处理,获取第三认证信息,基于第二私钥和第三公钥对第三认证信息进行解密处理,获取第三待认证公共密钥,并将第三待认证公共密钥和公共密钥进行对比,以及将机器码与第二配置文件中的机器码进行对比,生成第三认证结果;在第三认证结果为通过的情况下,建立待连接用户节点与已连接系统节点的连接。
可见,本公开实施例中,通过区分系统节点和用户节点,根据节点类型的不同,使用不同的认证方式接入多节点分布式认证;具体的,对于通信网络中的系统节点认证统一使用公钥和私钥验证,用户节点的接入使用独立的认证方式。这样在批量部署节点时,可以采取批处理的方式进行节点部署,批量部署能力强,减小部署节点人工成本。还有,由于已连接系统节点对待连接系统节点进行身份验证,有效保证接入系统的网络节点的身份可信性,且通过对认证信息进行协议混淆,当认证流量通过防火墙等设备时不会被识别为垃圾流量而不易丢失。另外,上述待连接系统节点与已连接系统节点的连接过程,认证信息存储于待接入节点,管理中心只需要下发一次认证信息到待连接系统节点;从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
基于上述方法实施例,本公开还提供了一种多节点分布式认证系统,参考图8,为本公开实施例提供的一种多节点分布式认证系统的结构示意图,该多节点分布式认证系统800包括:管理中心801和系统节点802,该系统节点802包括待连接系统节点8021和已连接系统节点8022;
管理中心801获取待连接系统节点8021的第一公钥,基于第一公钥、已连接系统节点8022的第二公钥和公共密钥生成第一配置文件并下发给待连接系统节点8021和已连接系统节点8022;
待连接系统节点8021基于第一配置文件,获取第二公钥和公共密钥,并基于第二公钥和第一私钥对公共密钥进行加密生成第一认证信息后向已连接系统节点8022发送第一连接请求;
已连接系统节点8022对第一连接请求进行处理,获取第一认证信息,基于第二私钥和第一公钥对第一认证信息进行解密处理,获取第一待认证公共密钥,并将第一待认证公共密钥和公共密钥进行对比,生成第一认证结果;
在第一认证结果为通过的情况下,待连接系统节点8021与已连接系统节点8022建立连接。
一种可选的实施方式中,待连接系统节点8021基于第一私钥对公共密钥进行加密生成第二认证信息后向管理中心发送第二连接请求;
管理中心801对第二连接请求进行处理,获取第二认证信息,基于第一公钥对第二认证信息进行解密处理,获取第二待认证公共密钥,并将第二待认证公共密钥和公共密钥进行对比,生成第二认证结果;
在第二认证结果为通过的情况下,建立待连接系统节点8021与管理中心8022的连接。
一种可选的实施方式中,在生成第一认证信息或第二认证信息后,选择目标协议按照预设方式添加到第一认证信息或第二认证信息中。
一种可选的实施方式中,在建立待连接系统节点8021与管理中心801的连接后,已连接系统节点8022向待连接系统节点8021发送添加目标协议的标识数据包。
一种可选的实施方式,多节点分布式认证系统还包括用户节点803,该系统还包括:
管理中心801获取待连接用户节点803的第三公钥和机器码,基于第三公钥、机器码、已连接系统节点8022的第二公钥和公共密钥生成第二配置文件并下发给待连接用户节点803和已连接系统节点8022;
待连接用户节点803基于第二配置文件,获取第二公钥和公共密钥,并基于第二公钥和第三私钥对公共密钥进行加密生成第三认证信息后向已连接系统节点8022发送第三连接请求;
已连接系统节点对第三连接请求进行处理,获取第三认证信息,基于第二私钥和第三公钥对第三认证信息进行解密处理,获取第三待认证公共密钥,并将第三待认证公共密钥和公共密钥进行对比,以及将机器码与第二配置文件中的机器码进行对比,生成第三认证结果;
在第三认证结果为通过的情况下,建立待连接用户节点803与已连接系统节点8022的连接。
一种可选的实施方式中,在生成第三认证信息后,选择目标协议按照预设方式添加到第三认证信息中。
一种可选的实施方式中,在建立待连接用户节点803与已连接系统节点8022的连接后,已连接系统节点8022向待连接用户节点803发送添加目标协议的标识数据包。
本公开实施例中,通过区分系统节点和用户节点,根据节点类型的不同,使用不同的认证方式接入多节点分布式认证;具体的,对于通信网络中的系统节点认证统一使用公钥和私钥验证,用户节点的接入使用独立的认证方式。这样在批量部署节点时,可以采取批处理的方式进行节点部署,批量部署能力强,减小部署节点人工成本。还有,由于已连接系统节点对待连接系统节点进行身份验证,有效保证接入系统的网络节点的身份可信性,且通过对认证信息进行协议混淆,当认证流量通过防火墙等设备时不会被识别为垃圾流量而不易丢失。另外,上述待连接系统节点与已连接系统节点的连接过程,认证信息存储于待接入节点,管理中心只需要下发一次认证信息到待连接系统节点;从而减小通过管理中心认证的资源开销,减少认证过程中产生的数据流量。
图9为本公开实施例提供的一种多节点分布式认证设备的结构示意图。
下面具体参考图9,其示出了适于用来实现本公开实施例中的电子设备900的结构示意图。本公开实施例中的电子设备900可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图9示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图9所示,电子设备900可以包括处理装置(例如中央处理器、图形处理器等)901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储装置908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。在RAM 903中,还存储有电子设备900操作所需的各种程序和数据。处理装置901、ROM 902以及RAM903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
通常,以下装置可以连接至I/O接口905:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置906;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置907;包括例如磁带、硬盘等的存储装置908;以及通信装置909。通信装置909可以允许电子设备900与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备900,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置909从网络上被下载和安装,或者从存储装置908被安装,或者从ROM902被安装。在该计算机程序被处理装置901执行时,执行本公开实施例的多节点分布式认证方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备执行指令以实现上述的多节点分布式认证方法。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种多节点分布式认证方法,其特征在于,应用于多节点分布式认证系统,所述多节点分布式认证系统包括管理中心和系统节点,包括:
所述管理中心获取待连接系统节点的第一公钥,基于所述第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给所述待连接系统节点和所述已连接系统节点;
所述待连接系统节点基于所述第一配置文件,获取所述第二公钥和所述公共密钥,并基于所述第二公钥和第一私钥对所述公共密钥进行加密生成第一认证信息后向所述已连接系统节点发送第一连接请求;
所述已连接系统节点对所述第一连接请求进行处理,获取所述第一认证信息,基于第二私钥和所述第一公钥对所述第一认证信息进行解密处理,获取第一待认证公共密钥,并将所述第一待认证公共密钥和所述公共密钥进行对比,生成第一认证结果;
在所述第一认证结果为通过的情况下,建立所述待连接系统节点与所述已连接系统节点的连接。
2.根据权利要求1所述的多节点分布式认证方法,其特征在于,还包括:
所述待连接系统节点基于所述第一私钥对所述公共密钥进行加密生成第二认证信息后向所述管理中心发送第二连接请求;
所述管理中心对所述第二连接请求进行处理,获取所述第二认证信息,基于所述第一公钥对所述第二认证信息进行解密处理,获取第二待认证公共密钥,并将所述第二待认证公共密钥和所述公共密钥进行对比,生成第二认证结果;
在所述第二认证结果为通过的情况下,建立所述待连接系统节点与所述管理中心的连接。
3.根据权利要求1或2所述的多节点分布式认证方法,其特征在于,还包括:
在生成所述第一认证信息或第二认证信息后,选择目标协议按照预设方式添加到所述第一认证信息或第二认证信息中。
4.根据权利要求1所述的多节点分布式认证方法,其特征在于,还包括:
在建立所述待连接系统节点与所述管理中心的连接后,所述已连接系统节点向所述待连接系统节点发送添加目标协议的标识数据包。
5.根据权利要求1所述的多节点分布式认证方法,其特征在于,所述多节点分布式认证系统还包括用户节点,所述方法还包括:
所述管理中心获取待连接用户节点的第三公钥和机器码,基于所述第三公钥、所述机器码、已连接系统节点的第二公钥和所述公共密钥生成第二配置文件并下发给所述待连接用户节点和所述已连接系统节点;
所述待连接用户节点基于所述第二配置文件,获取所述第二公钥和所述公共密钥,并基于所述第二公钥和第三私钥对所述公共密钥进行加密生成第三认证信息后向所述已连接系统节点发送第三连接请求;
所述已连接系统节点对所述第三连接请求进行处理,获取所述第三认证信息,基于所述第二私钥和所述第三公钥对所述第三认证信息进行解密处理,获取第三待认证公共密钥,并将所述第三待认证公共密钥和所述公共密钥进行对比,以及将所述机器码与所述第二配置文件中的机器码进行对比,生成第三认证结果;
在所述第三认证结果为通过的情况下,建立所述待连接用户节点与所述已连接系统节点的连接。
6.根据权利要求5所述的多节点分布式认证方法,其特征在于,还包括:
在生成所述第三认证信息后,选择目标协议按照预设方式添加到所述第三认证信息中。
7.根据权利要求5所述的多节点分布式认证方法,其特征在于,还包括:
在建立所述待连接用户节点与所述已连接系统节点的连接后,所述已连接系统节点向所述待连接用户节点发送添加目标协议的标识数据包。
8.一种多节点分布式认证系统,其特征在于,包括:管理中心和系统节点,所述系统节点包括待连接系统节点和已连接系统节点;
所述管理中心获取待连接系统节点的第一公钥,基于所述第一公钥、已连接系统节点的第二公钥和公共密钥生成第一配置文件并下发给所述待连接系统节点和所述已连接系统节点;
所述待连接系统节点基于所述第一配置文件,获取所述第二公钥和所述公共密钥,并基于所述第二公钥和第一私钥对所述公共密钥进行加密生成第一认证信息后向所述已连接系统节点发送第一连接请求;
所述已连接系统节点对所述第一连接请求进行处理,获取所述第一认证信息,基于第二私钥和所述第一公钥对所述第一认证信息进行解密处理,获取第一待认证公共密钥,并将所述第一待认证公共密钥和所述公共密钥进行对比,生成第一认证结果;
在所述第一认证结果为通过的情况下,所述待连接系统节点与所述已连接系统节点建立连接。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求1-7中任一项所述的多节点分布式认证方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1-7中任一项所述的多节点分布式认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111486950.6A CN114239010A (zh) | 2021-12-07 | 2021-12-07 | 一种多节点分布式认证方法、系统、电子设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111486950.6A CN114239010A (zh) | 2021-12-07 | 2021-12-07 | 一种多节点分布式认证方法、系统、电子设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114239010A true CN114239010A (zh) | 2022-03-25 |
Family
ID=80753769
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111486950.6A Pending CN114239010A (zh) | 2021-12-07 | 2021-12-07 | 一种多节点分布式认证方法、系统、电子设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114239010A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140282840A1 (en) * | 2013-03-15 | 2014-09-18 | True Ultimate Standards Everywhere, Inc. | Managing data handling policies |
CN107453870A (zh) * | 2017-09-12 | 2017-12-08 | 京信通信系统(中国)有限公司 | 基于区块链的移动终端认证管理方法、装置及相应的移动终端 |
CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
CN108028829A (zh) * | 2015-07-02 | 2018-05-11 | 瑞典爱立信有限公司 | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 |
CN108369697A (zh) * | 2015-10-16 | 2018-08-03 | 科因普拉格株式会社 | 基于区块链的认可证书签发系统和方法以及基于区块链的认可证书认证系统和方法 |
CN112040483A (zh) * | 2020-06-04 | 2020-12-04 | 南京南瑞信息通信科技有限公司 | 一种轻量级高效身份认证方法及系统 |
CN112291179A (zh) * | 2019-07-22 | 2021-01-29 | 科大国盾量子技术股份有限公司 | 一种实现设备认证的方法、系统及装置 |
CN112637230A (zh) * | 2020-12-29 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 一种即时通信方法及系统 |
CN112688781A (zh) * | 2021-03-11 | 2021-04-20 | 浙江口碑网络技术有限公司 | 密钥处理方法及装置 |
-
2021
- 2021-12-07 CN CN202111486950.6A patent/CN114239010A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140282840A1 (en) * | 2013-03-15 | 2014-09-18 | True Ultimate Standards Everywhere, Inc. | Managing data handling policies |
CN108028829A (zh) * | 2015-07-02 | 2018-05-11 | 瑞典爱立信有限公司 | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 |
CN108369697A (zh) * | 2015-10-16 | 2018-08-03 | 科因普拉格株式会社 | 基于区块链的认可证书签发系统和方法以及基于区块链的认可证书认证系统和方法 |
CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
CN107453870A (zh) * | 2017-09-12 | 2017-12-08 | 京信通信系统(中国)有限公司 | 基于区块链的移动终端认证管理方法、装置及相应的移动终端 |
CN112291179A (zh) * | 2019-07-22 | 2021-01-29 | 科大国盾量子技术股份有限公司 | 一种实现设备认证的方法、系统及装置 |
CN112040483A (zh) * | 2020-06-04 | 2020-12-04 | 南京南瑞信息通信科技有限公司 | 一种轻量级高效身份认证方法及系统 |
CN112637230A (zh) * | 2020-12-29 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 一种即时通信方法及系统 |
CN112688781A (zh) * | 2021-03-11 | 2021-04-20 | 浙江口碑网络技术有限公司 | 密钥处理方法及装置 |
Non-Patent Citations (2)
Title |
---|
BEINI ZHOU等: "An Authentication Scheme Using Identity-based Encryption & Blockchain", pages 1 - 6, Retrieved from the Internet <URL:《网页在线公开:https://ieeexplore.ieee.org/abstract/document/8538446》> * |
高瑾: "动态用户网络连接防干扰与安全认证方法仿真", 《计算机仿真》, vol. 36, no. 5, 3 July 2019 (2019-07-03), pages 230 - 233 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10554420B2 (en) | Wireless connections to a wireless access point | |
CN110770695B (zh) | 物联网(iot)设备管理 | |
US11451614B2 (en) | Cloud authenticated offline file sharing | |
CN110944330B (zh) | Mec平台部署方法及装置 | |
KR101361161B1 (ko) | 모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법 | |
JP2005142792A (ja) | 接続情報設定方法および無線通信端末 | |
US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
CN115462108A (zh) | 无密码无线认证 | |
CN111866993B (zh) | 无线局域网连接管理方法、装置、软件程序及存储介质 | |
KR101836211B1 (ko) | 전자 기기 인증 매니저 장치 | |
US20230362016A1 (en) | Secure application computing environment in a federated edge cloud | |
CN116633582A (zh) | 安全通信方法、装置、电子设备及存储介质 | |
CN114143057B (zh) | 网络连接的认证方法、装置、系统、电子设备及存储介质 | |
US20220174490A1 (en) | System, method, storage medium and equipment for mobile network access | |
WO2023141876A1 (zh) | 数据传输方法、装置、系统、电子设备及可读介质 | |
CN115801299A (zh) | 元宇宙身份认证方法、装置、设备及存储介质 | |
CN114239010A (zh) | 一种多节点分布式认证方法、系统、电子设备及介质 | |
CN111741464B (zh) | 设备连接方法、主控设备、被控设备、控制系统及介质 | |
CN114039723A (zh) | 一种共享密钥的生成方法、装置、电子设备及存储介质 | |
US11831632B2 (en) | Secure endpoint authentication credential control | |
CN114598549B (zh) | 客户ssl证书验证方法及装置 | |
US11977620B2 (en) | Attestation of application identity for inter-app communications | |
US20230216850A1 (en) | Remotely Accessing an Endpoint Device Using a Distributed Systems Architecture | |
CN117579285A (zh) | 一种服务化网络中流量转发方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |