CN117411716A - 一种安全认证方法、装置、电子设备、芯片及介质 - Google Patents
一种安全认证方法、装置、电子设备、芯片及介质 Download PDFInfo
- Publication number
- CN117411716A CN117411716A CN202311550026.9A CN202311550026A CN117411716A CN 117411716 A CN117411716 A CN 117411716A CN 202311550026 A CN202311550026 A CN 202311550026A CN 117411716 A CN117411716 A CN 117411716A
- Authority
- CN
- China
- Prior art keywords
- user
- information
- information management
- control module
- edge cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 90
- 230000006835 compression Effects 0.000 claims abstract description 17
- 238000007906 compression Methods 0.000 claims abstract description 17
- 238000012795 verification Methods 0.000 claims description 60
- 238000010200 validation analysis Methods 0.000 claims description 14
- 238000012217 deletion Methods 0.000 claims description 10
- 230000037430 deletion Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 7
- 230000008014 freezing Effects 0.000 claims description 6
- 238000007710 freezing Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 4
- XOOUIPVCVHRTMJ-UHFFFAOYSA-L zinc stearate Chemical compound [Zn+2].CCCCCCCCCCCCCCCCCC([O-])=O.CCCCCCCCCCCCCCCCCC([O-])=O XOOUIPVCVHRTMJ-UHFFFAOYSA-L 0.000 claims description 4
- 238000013475 authorization Methods 0.000 abstract description 9
- 238000007726 management method Methods 0.000 description 107
- 238000010586 diagram Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000003491 array Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供一种安全认证方法、装置、电子设备、芯片及介质,涉及IT应用领域,由云端信息中心执行,该方法包括:信息管控模块获取用户的权限申请信息;信息管控模块将权限申请信息发送至金库审批模块;金库审批模块对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息;信息管控模块向Coda区块链协议模块发送密钥申请;Coda区块链协议模块通过zk‑SNARK递归压缩算法,生成递归证明。通过对各个边缘分别进行用户申请的定向授权以及采用Coda协议和zk‑SNARK递归证明进行身份的验证,可进行无障碍的跨集群用户验证和业务操作。
Description
技术领域
本公开涉及大数据云边协同技术领域,尤其涉及一种安全认证方法、装置、电子设备、芯片及介质。
背景技术
在云边协同场景海量大数据集群场景下,大规模云边分散式集群分布情况下,存在着跨多边缘集群间认证隔离、跨集群间Kerberos认证复杂时间长、集群间信息通信延迟大且不稳定、集群间用户信息管理不安全等一系列问题。
发明内容
本公开提供一种安全认证方法、装置、电子设备、芯片及介质,以解决相关技术中不能在海量大数据集群场景下进行跨多边缘集群间认证等问题。通过云端信息中心对各个边缘分别进行用户申请的定向授权以及采用Coda协议和zk-SNARK递归证明进行身份的验证,可进行无障碍的跨集群用户验证和业务操作。
本公开的第一方面实施例提出了一种安全认证方法,该方法由云端信息中心执行,云端信息中心部署于中心服务器上,云端信息中心包括信息管控模块、金库审批模块、Coda区块链协议模块、Coda区块链数据库,该方法包括:信息管控模块获取用户的权限申请信息,其中用户对应第一边缘集群,权限申请信息用于申请用户对第二边缘集群进行操作的用户权限,操作包括创建、读取、删除中的任一项,每个边缘集群包括一个或多个Kerberos服务器;信息管控模块将权限申请信息发送至金库审批模块;金库审批模块对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息;信息管控模块向Coda区块链协议模块发送密钥申请;Coda区块链协议模块通过zk-SNARK递归压缩算法,生成递归证明,递归证明用于获取用户对第二边缘集群进行操作的密钥,Coda区块链数据库存储密钥以及用户的信息。
在本公开的一些实施例中,权限申请信息包括用户期望申请的第二边缘集群的集群标识、用户期望申请的业务标识。
在本公开的一些实施例中,金库审批模块对权限申请信息进行审批包括:确定集群标识和业务标识之间是否存在预设对应关系;若存在,则确认审批通过。
在本公开的一些实施例中,信息管控模块向Coda区块链协议模块发送密钥申请之前,该方法还包括:信息管控模块确定第一边缘集群所属的realm域内的第三边缘集群;对第三边缘集群中的Kerberos服务器同时进行API调用操作,对第一边缘集群和第三边缘集群共同创建/读取/删除访问权限和用户验证信息;信息管控模块将用户验证信息、第二边缘集群的客户端信息、第二边缘集群的服务端信息和操作信息通过Coda区块链协议模块保存至Coda区块链数据库。
在本公开的一些实施例中,信息管控模块向Coda区块链协议模块发送密钥申请之前,该方法还包括:信息管控模块向第一边缘集群中的Kerberos服务器发起用户身份证明请求;第一边缘集群中的Kerberos服务器对用户的身份进行认证,当用户的用户信息通过认证时,第一边缘集群中的Kerberos服务器向信息管控模块返回用户认证通过结果;信息管控模块对用户是否对第二边缘集群具有访问权限进行认证,当认证通过时,向Coda区块链协议模块发送密钥申请。
在本公开的一些实施例中,Coda区块链协议模块通过zk-SNARK递归压缩算法,生成递归证明之后,该方法还包括:Coda区块链协议模块将递归证明发送给信息管控模块;信息管控模块将递归证明发送给第一边缘集群的Kerberos服务器;响应于递归证明,第一边缘集群的Kerberos服务器生成并向信息管控模块发送票据和验证码,票据和验证码针对第一边缘集群有效;信息管控模块存储用户标识、票据和验证码、第一边缘集群的标识;第一边缘集群的Kerberos服务器确定第二边缘集群的标识是否与第三边缘集群的标识匹配,以确定第二边缘集群是否与第一边缘集群属于同一realm域;若是,信息管控模块将票据和验证码作为对第二边缘集群进行操作的密钥发送给用户。
在本公开的一些实施例中,该方法还包括:当信息管控模块检测到用户的认证操作满足预设条件,对用户的用户权限进行冻结,删除用户的用户验证信息;其中,预设条件包括:用户的身份认证失败次数超过预设次数,或者,用户发起权限申请所使用的主机不是第一边缘集群的边缘主机,或者,用户使用的用户名不是被授权的用户名。
本公开的第二方面实施例提出了一种安全认证装置,该装置包括:信息管控模块,用于获取用户的权限申请信息,其中用户对应第一边缘集群,权限申请信息用于申请用户对第二边缘集群进行操作的用户权限,操作包括创建、读取、删除中的任一项,每个边缘集群包括一个或多个Kerberos服务器;信息管控模块,用于将权限申请信息发送至金库审批模块;金库审批模块,用于对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息;信息管控模块,用于向Coda区块链协议模块发送密钥申请;Coda区块链协议模块,用于通过zk-SNARK递归压缩算法,生成递归证明,递归证明用于获取用户对第二边缘集群进行操作的密钥,Coda区块链数据库存储密钥以及用户的信息。
本公开的第三方面实施例提出了一种电子设备,包括:一个或多个处理器和与一个或多个处理器通信连接的存储装置,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器执行本公开第一方面实施例中描述的方法。
本公开的第四方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开第一方面实施例中描述的方法。
本公开的第五方面实施例提出了一种芯片,该芯片包括一个或多个接口电路和一个或多个处理器;接口电路用于从电子设备的存储器接收信号,并向处理器发送信号,信号包括存储器中存储的计算机指令,当处理器执行计算机指令时,使得电子设备执行本公开第一方面实施例中描述的方法。
综上,根据本公开提出的安全认证方法,根据信息管控模块获取用户的权限申请信息,其中用户对应第一边缘集群,权限申请信息用于申请用户对第二边缘集群进行操作的用户权限,操作包括创建、读取、删除中的任一项,每个边缘集群包括一个或多个Kerberos服务器;信息管控模块将权限申请信息发送至金库审批模块;金库审批模块对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息;信息管控模块向Coda区块链协议模块发送密钥申请;Coda区块链协议模块通过zk-SNARK递归压缩算法,生成递归证明,递归证明用于获取用户对第二边缘集群进行操作的密钥,Coda区块链数据库存储密钥以及用户的信息。通过对用户的权限申请信息进行多边缘验证授权,以进行无障碍的跨集群用户验证和业务操作,既可以应用于海量大数据集群场景下,又可以节省不同集群间进行安全认证的时间。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
图1为本公开实施例提出的一种安全认证方法的流程图;
图2为本公开实施例提出的一种安全认证方法的流程图;
图3为本公开实施例提出的一种安全认证方法的流程图;
图4为本公开实施例提出的一种安全认证方法的流程图;
图5为本公开实施例提出的一种安全认证方法的流程图;
图6A为本公开实施例提供的一种云端信息中心结构图;
图6B为本公开实施例提供的权限同步的示意图;
图6C为本公开实施例提供的一种进行Kerberos票据验证的示意图;
图7为本公开实施例提出的一种安全认证装置的结构示意图;
图8为本公开实施例提出的电子设备的结构示意图。
具体实施方式
下面详细描述本公开的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述实施例。
现有技术方案提述方案及其缺点:
相关技术1公开了一种基于云计算多因子双向动态认证加密,能比较好地解决云计算环境下动态化复杂业务的数据加密通信问题,大幅提高安全性。但在云边协同场景下的大数据集群中,因数据仓库中的表数据量庞大,达到PB级别,对数据本身进行加密后再进行传输效率过于低,对加解密服务器要求高。在大数据集群场景下应只针对票据和认证信息本身,保障其安全性。数据本身的存储和传输安全应当由大数据组件自身在兼顾效率同时进行保障。
相关技术2公开了一种基于Bulletproofs的Kerberos跨域认证方法,主要解决跨域的Kerberos认证问题,作为一种kerberos互信的方案,这种方案在集群数量在一定范围内可行,集群数量过多时指数级增长的互信配置使得维护和管理变得困难。同时,基于Bulletproofs认证算法,无法设置可信,生成效率低。同时存在远程访问延迟、单点故障等问题,考虑到票据时效性,无法解决长距离多边缘集群的统一认证问题。
相关技术3公开的一种数据存储方法及装置、数据查询方法及装置。主要用于通过区块链技术本身对电子票据进行加解密、管理、存储、查询。得益于区块链特点,适用于对票据数据可靠性要求高的场景。但在大数据的用户票据场景中应用仍需要进行重构和优化,以保证大数据场景下用户验证的及时性和稳定性。
相关技术1和2都是基于跨域同步技术,提出了针对特定的端到端场景下资源同步和用户跨域认证方法,但无法完全满足在云边协同计算海量大数据集群需求下的集群操作验证工作。相关技术2的跨域认证的方案是建立在集群数量不多,网络连接稳定的情况下,可以采用的集群间互信方案,但在海量多边缘的集群时无法保证互信网络实时的稳定性和互信操作本身指数级增加的运维和运营成本。相关技术3作为电子票据的存储查询方案,很好地启发了在大数据场景下如何保障用户票据数据可靠性要求,但在云边协同多边缘的海量大数据集群统一认证场景下,无法直接使用。需要进行扩展,以满足区块链与大数据组件交互时的及时性和稳定性要求。
可见相关技术在云边协同场景海量大数据集群场景下存在缺陷,在大规模云边分散式集群分布情况下,导致跨多边缘集群间认证隔离、跨集群间Kerberos认证复杂时间长、集群间信息通信延迟大且不稳定、集群间用户信息管理不安全等一系列问题。
为了解决相关技术中存在的问题,本公开提出一种安全认证方法,由云端信息中心执行,云端信息中心部署于中心服务器上,云端信息中心包括信息管控模块、金库审批模块、Coda区块链协议模块、Coda数据库,包括:信息管控模块获取用户的权限申请信息,其中用户对应第一边缘集群,权限申请信息用于申请用户对第二边缘集群进行操作的用户权限,操作包括创建、读取、删除中的任一项,每个边缘集群包括一个或多个Kerberos服务器;信息管控模块将权限申请信息发送至金库审批模块;金库审批模块对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息;信息管控模块向Coda区块链协议模块发送密钥申请;Coda区块链协议模块通过zk-SNARK递归压缩算法,生成递归证明,递归证明用于获取用户对第二边缘集群进行操作的密钥,Coda区块链数据库存储密钥以及用户的信息。通过对跨域异构集群开发相同realm的Kerberos认证技术的改造,对各个边缘分别进行用户申请的定向授权和删除以及采用Coda协议和zk-SNARK递归证明进行身份的验证,同时,各个边缘Kerberos服务器统一采用相同realm,保障云端信息中心可对一个用户进行多边缘验证授权后,可进行无障碍的跨集群用户验证和业务操作。
本公开提出的方法相较于相关技术,完善了在大数据集群的云边协同场景下用户安全认证,通过轻量级区块链协议Coda的递归压缩算法快速安全的下发zk-SNARK证明,做到既可以安全地完成票据验证信息存储,又快速地完成验证、加解密和传输工作,保障用户正常使用集群。
下面结合附图对本申请所提供的安全认证方法进行详细介绍。
图1为本公开实施例提出的一种安全认证方法的流程图。该方法可以由云端信息中心执行,云端信息中心部署于中心服务器上,云端服务中心包括信息管控模块、金库审批模块、Coda区块链协议模块、Coda区块链数据库。如图1所示,该界面渲染方法包括步骤101-105。
步骤101,信息管控模块获取用户的权限申请信息。
在本公开的实施例中,用户对应第一边缘集群。
在本公开的实施例中,权限申请信息用于申请用户对第二边缘集群进行操作的用户权限。
在本公开的实施例中,权限申请信息包括用户期望申请的第二边缘集群的集群标识、用户期望申请的业务标识。
在本公开的实施例中,集群与业务之间存在对应关系,示例地,集群A用于业务X,集群B用于业务Y,集群C用于业务Z。
在本公开的实施例中,操作包括创建、读取、删除中的任一项。
在本公开的实施例中,每个边缘集群包括一个或多个Kerberos服务器。
示例地,权限申请信息可以是用户A想要对边缘集群B的数据C进行删除操作。
示例地,可以是在对A省和B省的某个数据进行融合的过程中,需要获取访问B省的集群中的数据C,进行查看或编辑的权限。
步骤102,信息管控模块将权限申请信息发送至金库审批模块。
在本公开的实施例中,信息管控模块将用户期望申请的第二边缘集群的集群标识、用户期望申请的业务标识发送至金库审批模块。
在本公开的实施例中,金库审批模块中存储有集群与业务之间的对应关系。
在本公开的实施例中,金库审批模块中存储的集群与业务之间的对应关系是预先设置的。
步骤103,金库审批模块对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息。
在本公开的实施例中,通过确定集群标识和业务标识之间是否存在预设对应关系进行审批判断,若存在,则确认审批通过。
示例地,金库审批模块根据信息管控模块发来的用户权限申请信息,与预先设置的对应关系进行对比,判断申请中的两个标识是否命中对应关系,若命中,则可以通过该用户的申请。
在上述实施例中,金库审批模块是对用户申请的待访问集群与业务之间是否匹配进行验证,以便进行后续的进一步验证和登录。
步骤104,信息管控模块向Coda区块链协议模块发送密钥申请。
在本公开的实施例中,密钥申请是用户对第二边缘集群进行操作的申请。
在本公开的实施中,信息管控模块在向Coda区块链协议模块申请密钥之前还可以对用户名和密码进行验证。示例地,信息管控模块通过API调用对应边缘Kerberos服务器发起AS身份证明请求,Kerberos服务器中的AS认证服务器接受请求后验证用户身份并返回结果后,信息管控模块进行进一步的验证用户信息,通过后向Coda区块链协议模块发送密钥申请。
步骤105,Coda区块链协议模块通过zk-SNARK递归压缩算法,生成递归证明。
在本公开的实施例中,递归证明用于获取用户对第二边缘集群进行操作的密钥。
在本公开的的实施例中,Coda区块链数据库存储密钥以及用户的信息。
在本公开的实施例中,递归证明是一个有时效性的验证码,其只对用户此次申请访问第二边缘集群的业务类型进行相关操作有效。
综上,根据本公开提出的安全认证方法,通过信息管控模块获取用户的权限申请信息,其中用户对应第一边缘集群,权限申请信息用于申请用户对第二边缘集群进行操作的用户权限,操作包括创建、读取、删除中的任一项,每个边缘集群包括一个或多个Kerberos服务器;信息管控模块将权限申请信息发送至金库审批模块;金库审批模块对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息;信息管控模块向Coda区块链协议模块发送密钥申请;Coda区块链协议模块通过zk-SNARK递归压缩算法,生成递归证明,递归证明用于获取用户对第二边缘集群进行操作的密钥,Coda区块链数据库存储密钥以及用户的信息。通过轻量级区块链协议Coda的递归压缩算法快速安全的下发zk-SNARK证明,做到既可以安全地完成票据验证信息存储,又快速地完成验证、加解密和传输工作,保障用户正常使用集群。
基于图1所示的实施例,图2进一步示出本公开提出的一种安全认证方法的流程图。图2基于图1所示的实施例,对安全认证方法的流程进行进一步定义。如图2所示,在步骤104之前还可以执行如下步骤201-203:
步骤201,信息管控模块确定第一边缘集群所属的realm域内的第三边缘集群。
在本公开的实施例中,信息管控模块根据预先设置的与第一边缘集群同属一个realm的其他边缘集群的标识,确定与第一边缘集群同属一个realm的第三边缘集群。
步骤202,对第三边缘集群中的Kerberos服务器同时进行API调用操作,对第一边缘集群和第三边缘集群共同创建/读取/删除访问权限和用户验证信息。
在本公开的实施例中,对第一边缘集群与第三边缘集群共同的Kerberos服务器进行API调用操作,在共同的Kerberos realm中创建/读取/删除访问权限和用户验证信息。
在本公开的实施例中,用户验证信息可以是用户名。
步骤203,信息管控模块将用户验证信息、第二边缘集群的客户端信息、第二边缘集群的服务端信息和操作信息通过Coda区块链协议模块保存至Coda区块链数据库。
在本公开的实施例中,第二边缘集群的客户端信息可以是目标集群的边缘集群的信息。
在本公开的实施例中,操作信息可以是用户申请的使用权限。示例地,可以是用户A访问目标集群B的数据C的值进行创建/读取/删除的操作。
在上述实施例中,信息管控模块通过同属一个realm域的边缘集群进行统一标识,以使得在同一个realm域内的集群可以使用共同的票据和验证码进行登录操作,减少了不必要的安全认证的时间,实现跨集群验证和业务操作。
基于图2所示的实施例,图3进一步示出本公开提出的一种安全认证方法的流程图。图3基于图2所示的实施例,对安全认证方法的流程进行进一步定义。如图3所示,在步骤203之后还可以执行如下步骤301-303:
步骤301,信息管控模块向第一边缘集群中的Kerberos服务器发起用户身份证明请求。
在本公开的实施例中,用户身份包括用户提供的用户名和密码。
示例地,信息管控模块通过API调用对应边缘Kerberos服务器发起AS身份证明请求。
步骤302,第一边缘集群中的Kerberos服务器对用户的身份进行认证,当用户的用户信息通过认证时,第一边缘集群中的Kerberos服务器向信息管控模块返回用户认证通过结果。
在本公开的实施例中,对用户的身份进行认证是在本域的服务器上进行的。
在本公开的实施例中,用户信息通过认证可以是用户提供的用户名和密码与本域服务器上存储的信息一致,即返回认证通过的结果。示例地,Kerberos服务器中AS认证服务器接受请求后验证用户身份并返回结果给信息管控模块。
步骤303,信息管控模块对用户是否对第二边缘集群具有访问权限进行认证,当认证通过时,向Coda区块链协议模块发送密钥申请。
在本公开的实施例中,在中心服务器进行认证,以确定用户期望的第二边缘集群及访问的权限。
在本公开的实施例中,密钥用于用户对与第一边缘集群同属一个realm的集群进行登录的证明。
在上述实施例中,信息管控模块分别对用户名和密码的对应关系进行认证,通过后,还可以对用户待访问的集群标识和权限进行验证,验证通过后才可以向Coda区块链协议模块发送密钥申请。
基于图1所示的实施例,图4进一步示出本公开提出的一种安全认证方法的流程图。图4基于图1所示的实施例,对安全认证方法的流程进行进一步定义。如图4所示,在步骤105之后还可以执行如下步骤401-406:
步骤401,Coda区块链协议模块将递归证明发送给信息管控模块。
在本公开的实施例中,递归证明是用户与第一边缘集群同属一个realm域的集群进行访问的证明密钥。
在本公开的实施例中,递归证明对第一边缘集群有效。
步骤402,信息管控模块将递归证明发送给第一边缘集群的Kerberos服务器。
步骤403,响应于递归证明,第一边缘集群的Kerberos服务器生成并向信息管控模块发送票据和验证码,票据和验证码针对第一边缘集群有效。
在本公开的实施例中,票据是用户登录的密码,验证码是临时密码。
在本公开的实施例中,票据和验证码用于对第一边缘集群进行操作的身份证明。
步骤404,信息管控模块存储用户标识、票据和验证码、第一边缘集群的标识。
在本公开的实施例中,信息管控模块存储用户标识、票据和验证码、第一边缘集群的标识,以表明用户当前获得的票据和验证码是针对第一边缘集群有效的。
步骤405,第一边缘集群的Kerberos服务器确定第二边缘集群的标识是否与第三边缘集群的标识匹配,以确定第二边缘集群是否与第一边缘集群属于同一realm域。
在本公开的实施例中,根据查询到的第一边缘集群的标识,查询信息管控模块中预先设置的与第一边缘集群同属一个realm域的第三边缘集群的标识,确定第二边缘集群的标识与第三边缘集群的标识相匹配,则用户期望访问的第二边缘集群与第一边缘集群同属一个realm域,可以共用一个票据和验证码。
步骤406,若是,信息管控模块将票据和验证码作为对第二边缘集群进行操作的密钥发送给用户。
在本公开的实施例中,第二边缘集群与第一边缘集群同属一个realm域,因此,第一边缘集群的Kerberos服务器生成的票据和验证码对第二边缘集群也有效。
在本公开的实施例中,票据和验证码是用户对第二边缘集群进行操作的密钥。
基于图1所示的实施例,图5进一步示出本公开提出的一种安全认证方法的流程图。图5基于图1所示的实施例,对安全认证方法的流程进行进一步定义。如图5所示,在步骤105之后还可以执行如下步骤501:
步骤501,当信息管控模块检测到用户的认证操作满足预设条件,对用户的用户权限进行冻结,删除用户的用户验证信息。
在本公开的实施例中,预设条件包括用户的身份认证失败次数超过预设次数,或者,用户发起权限申请所使用的主机不是第一边缘集群的边缘主机,或者,用户使用的用户名不是被授权的用户名。
示例地,信息管控模块检测用户是否频繁在边缘A尝试用户名或密码进行验证尝试,或用户使用未被许可的主机、边缘信息验证;若检测到,则对用户在对应边缘的权限进行冻结,删除对应边缘Kerberos服务器上用户principle信息,并通过金库审批模块通知运维人员和对应用户。
本公开提出的方法对于用户访问其他边缘集群并对其中的库或数据进行操作的安全认证方式进行改进,通过对跨集群开发相同realm域的Kerberos认证技术的改造,对各个边缘分别进行用户申请的定向授权和删除以及采用Coda协议和zk-SNARK递归证明进行身份的验证,同时,各个边缘Kerberos服务器统一采用相同realm域,保障云端信息中心对一个用户进行多边缘验证授权后,可进行无障碍的跨集群用户验证和业务操作。本公开提出的方法具有如下有益效果:
1.适用于大数据云边协同场景下的用户安全认证,实现在云端一次验证即可保障在各个边缘各个集群均能进行安全高效的认证;
2.将票据和用户信息存储在区块链中,保障了票据的安全性;
3.引入Coda协议和zk-SNARK递归压缩算法,使验证安全性更高,效率也更高。
图6A为本公开实施例提供的一种云端信息中心结构图,如图6A所示,云端信息中心包括四个模块,分别是:
(1)信息管控模块:作为与客户端和Kerberos服务器交互的主要模块,主要负责权限申请、验证和安全异常监控。将用户对指定边缘集群的指定权限申请(包括读取、删除数据等的申请),发送到金库审批模块并获取结果;将用户的验证会话信息发送到Coda协议模块进行身份的验证和zk-SNARK递归证明的获取。通过验证后对异构集群同域Kerberos进行验证信息同步。
(2)金库审批模块:作为与上层业务平台对接的模块,将用户的申请发送给上层业务平台,进行创建、删除的审批流程的上传、流转和回执的获取。
(3)Coda区块链协议模块:Coda作为轻量级区块链协议Coda,主要用于验证用户信息,存储信息到区块链数据库中,通过zk-SNARK递归压缩快速安全的下发zk-SNARK证明。
(4)Coda区块链数据库:在云端分布式部署的区块链数据库,用于存储用户信息和变更记录的认证。
图6B为本公开实施例提供的权限同步的示意图。如图6B所示,权限同步包括以下步骤:
(1)用户向云端信息中心的信息管控模块申请或删除边缘A的用户权限,具体可以通过向信息管控模块发送用户权限开通/删除申请的方式,申请或删除边缘A的用户权限。其中,该申请中包含用户期望申请的用户权限对应的边缘集群A的标识,如标识A;此外,还包括用户期望申请的用户权限对应的业务的标识,如业务X。
(2)信息管控模块通过金库审批模块由运维方授权该申请流程。具体地,信息管控模块可以向金库审批模块转发用户发送的用户权限开通/删除申请。如上所述,该申请中包含期望申请的用户权限对应的边缘集群A的标识,如标识A;以及用户期望申请的用户权限对应的业务的标识,如业务X。
在本实施例中,集群给哪几个业务用,可以通过预先的规划进行设置。比如,规划:集群A用于业务X,集群B用于业务Y,集群C用于业务Z。从而,可以在金库审批模块中预先设置集群A和业务X的对应关系;类似地,预先设置集群B和业务Y的对应关系、集群C和业务Z的对应关系。
基于存储的上述对应关系,金库审批模块可以根据信息管控模块转发来的用户权限开通/删除申请中包含的边缘集群的标识,以及业务标识,判断该申请中的这两个标识是否命中对应关系。若命中,则可以通过用户的申请。进而,金库审批模块向信息管控模块反馈审批通过的通知消息,从而执行下述步骤(3)。
上述步骤的可选实现方式可以参考图1的步骤101、步骤102、步骤103。
(3)信息管控模块根据预先设置的与边缘集群A同属一个realm的其他边缘集群的标识,确定与边缘集群A同属一个realm的其他边缘集群,进而,对该些边缘集群中的Kerberos服务器同时进行API调用操作,在共同kerberos realm中创建/删除对应多个边缘的权限和principle。
(4)完成创建后信息管控模块将principle信息、客户端信息、边缘信息和操作记录通过Coda协议模块保存到区块链数据库做日志记录和存储。
可选地,principle信息可以是用户的验证信息,例如是用户名。
可选地,客户端信息可以是目标集群的客户端信息,例如是用户想要访问的第二边缘集群的客户端信息。
可选地,边缘信息可以是目标集群服务端信息。例如是用户想要访问的第二边缘集群的服务端信息。
可选地,操作记录可以是用户申请的使用权限,例如是用户A访问目标集群的某个库或某个数据的值进行创建/读取/删除的操作。
上述步骤的可选实现方式可以参考图2的步骤202、步骤202、步骤203。
图6C为本公开实施例提供的一种进行Kerberos票据验证的示意图。如图6C所示,Kerberos票据验证包括以下步骤:
(1)用户在已申请权限的边缘集群A的边缘主机向云端信息中心信息管控模块申请发起身份证明请求;
可选地,边缘主机可以是用户A所在的边缘集群A的边缘服务器。
(2)信息管控模块通过API调用对应边缘Kerberos服务器发起AS身份证明请求;
(3)Kerberos服务器中的AS认证服务器接受请求后验证用户身份并返回结果;
可选地,通过API调用的对应关系对用户的用户名和密码进行验证,将验证结果返回给信息管控模块。
(4)信息管控模块会进一步验证用户信息,通过后请求Coda协议模块下发zk-SNARK算法生成递归证明;
可选地,信息管控模块可以在所有域内的认证中心进行验证。
可选地,递归证明可以是用户进行跨集群访问的一个密钥。
可选地,密钥由zk-SNARK算法生成。
上述步骤的可选实现方式可以参考图3的步骤301、步骤302、步骤303。
(5)信息管控模块在验证通过后下发zk-SNARK递归证明信息给到Kerberos服务器;
可选地,信息管控模块将递归证明即密钥发送给用户所在集群的Kerberos服务器。
(6)Kerberos服务器会结合下发的zk-SNARK递归证明向用户发送对应的票据和验证码;同时,信息管控模块对应存储用户标识、当前下发的票据和验证码、边缘集群A的标识,以表明用户当前获得的票据和验证码,是针对边缘集群A有效的。
可选地,Kerberos服务器结合用户A访问边缘集群B的用户名和密码以及秘钥向用户A发送票据和验证码。
可选地,票据可以是密码。
可选地,验证码是临时密码,是临时有效的。
上述步骤的可选实现方式可以参考图4的步骤401、步骤402、步骤403、步骤404。
(7)当用户需要与Coda协议模块进行针对其他边缘集群(比如边缘集群B或者C等)的身份证明时,使用验证码和票据与Kerberos服务器中的TGS服务发起会话连接请求;其中,该会话连接请求中除包含验证码和票据外,还包含用户标识、用户期望访问的边缘集群的标识(比如,集群B)。
(8)Kerberos服务器与云端信息中心的信息管控模块确认票据和验证码的有效性,Kerberos服务器生成与集群会话的可用票据。
具体地,Kerberos服务器根据会话连接请求中的用户标识、验证码和票据,查询对应存储的用户标识、票据和验证码、边缘集群的标识,以便确定该用户当前提供的票据和验证码是针对哪个边缘集群有效的。经查询可以得到:用户当前提供的票据和验证码是针对边缘集群A有效的;
进一步地,根据查询到的边缘集群A的标识,查询信息管控模块中预先设置的与边缘集群A同属一个realm的其他边缘集群的标识;
若查询到与边缘集群A同属一个realm的其他边缘集群的标识,包括:边缘集群B的标识;那么,进一步判断会话连接请求中包含的用户期望访问的边缘集群的标识是否与边缘集群A同属一个realm的集群匹配;
若匹配,则确认会话连接请求中包含的票据和验证码对于边缘集群B也是有效的。
可选地,集群B对票据和验证码的有效性进行验证,上述票据为登录的票据。
可选地,Kerberos服务器生成的与集群会话的可用票据是使用的票据,即用户A想要跨集群进行创建、读取、删除、粘贴等的操作的使用票据。
(9)将票据和验证码验证通过的通知,下发用户。
上述步骤的可选实现方式可以参考图4的步骤405、步骤406。
当收到用户频繁尝试用户名密码鉴权时,对用户在异常边缘的授权进行回收和删除,包括以下步骤:
(1)当信息管控模块检测用户是否频繁在边缘A尝试用户名或密码进行验证尝试,或用户使用未被许可的主机、边缘信息验证;若检测到,执行步骤(2);
(2)对用户的在对应边缘权限进行冻结,删除对应边缘Kerberos服务器上用户principle信息,并通过金库审批模块通知运维人员和对应用户。
上述步骤的可选实现方式可以参考图5的步骤501。
图7为本公开实施例提出的一种安全认证装置的结构示意图。基于图1-图5所示的实施例,如图7所示,本公开提出一种安全认证装置700的示意图。
在本公开实施例中,该装置700包括:信息管控模块710,金库审批模块720,Coda区块链协议模块730。该装置700通过上述三个模块实现安全认证。
在本公开实施例中,信息管控模块710用于获取用户的权限申请信息,其中用户对应第一边缘集群,权限申请信息用于申请用户对第二边缘集群进行操作的用户权限,操作包括创建、读取、删除中的任一项,每个边缘集群包括一个或多个Kerberos服务器。
信息管控模块710用于将权限申请信息发送至金库审批模块。
金库审批模块720用于对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息。
信息管控模块710用于向Coda区块链协议模块发送密钥申请。
Coda区块链协议模块730用于通过zk-SNARK递归压缩算法,生成递归证明,递归证明用于获取用户对第二边缘集群进行操作的密钥,Coda区块链数据库存储密钥以及用户的信息。
在一些实施例中,权限申请信息包括用户期望申请的第二边缘集群的集群标识、用户期望申请的业务标识。
在一些实施例中,金库审批模块还用于:确定集群标识和业务标识之间是否存在预设对应关系;若存在,则确认审批通过。
在一些实施例中,信息管控模块还用于:确定第一边缘集群所属的realm域内的第三边缘集群;对第三边缘集群中的Kerberos服务器同时进行API调用操作,对第一边缘集群和第三边缘集群共同创建/读取/删除访问权限和用户验证信息;将用户验证信息、第二边缘集群的客户端信息、第二边缘集群的服务端信息和操作信息通过Coda区块链协议模块保存至Coda区块链数据库。
在一些实施例中,信息管控模块还用于:向第一边缘集群中的Kerberos服务器发起用户身份证明请求;第一边缘集群中的Kerberos服务器对用户的身份进行认证,当用户的用户信息通过认证时,第一边缘集群中的Kerberos服务器向信息管控模块返回用户认证通过结果;信息管控模块对用户是否对第二边缘集群具有访问权限进行认证,当认证通过时,向Coda区块链协议模块发送密钥申请。
在一些实施例中,Coda区块链协议模块还用于:将递归证明发送给信息管控模块。
在一些实施例中,信息管控模块还用于:将递归证明发送给第一边缘集群的Kerberos服务器;响应于递归证明,第一边缘集群的Kerberos服务器生成并向信息管控模块发送票据和验证码,票据和所述验证码针对第一边缘集群有效;信息管控模块存储用户标识、票据和验证码、第一边缘集群的标识;第一边缘集群的Kerberos服务器确定第二边缘集群的标识是否与第三边缘集群的标识匹配,以确定第二边缘集群是否与第一边缘集群属于同一realm域;若是,信息管控模块将票据和验证码作为对第二边缘集群进行操作的密钥发送给用户。
在一些实施例中,信息管控模块还用于:当信息管控模块检测到用户的认证操作满足预设条件,对用户的用户权限进行冻结,删除用户的用户验证信息;其中,预设条件包括:用户的身份认证失败次数超过预设次数,或者,用户发起权限申请所使用的主机不是第一边缘集群的边缘主机,或者,用户使用的用户名不是被授权的用户名。
综上,通过安全认证装置的信息管控模块获取用户的权限申请信息,将权限申请信息发送至金库审批模块;金库审批模块对权限申请信息进行审批,若审批通过,向信息管控模块发送审批通过消息;信息管控模块,向Coda区块链协议模块发送密钥申请;Coda区块链协议模块,通过zk-SNARK递归压缩算法,生成递归证明。通过对用户的权限申请信息进行多边缘验证授权,以进行无障碍的跨集群用户验证和业务操作,既可以应用于海量大数据集群场景下,又可以节省不同集群间进行安全认证的时间。
上述本申请提供的实施例中,对本申请实施例提供的方法及装置进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,电子设备可以包括硬件结构、软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。
图8是根据一示例性实施例示出的一种用于实现上述安全认证方法的电子设备800的框图。
参照图8,电子设备800可以包括通信接口801,能够与其他设备进行交互;处理器802,与通信接口801连接,以实现与其他设备进行交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的方法;存储器803,计算机程序存储在存储器803上。具体地,处理器802的具体处理过程可以参照本公开上述实施例中描述的文件比对方法。
当然,实际应用时,电子设备800中的各个组件通过总线系统804耦合在一起。可理解,总线系统804用于实现这些组件之间的连接通信。总线系统804除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图8中将各种总线都标为总线系统804。
本申请实施例中的存储器803用于存储各种类型的数据以支持电子设备800的操作。这些数据的示例包括:用于在电子设备800上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于处理器802,或者由处理器802实现。处理器802可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器802中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器802可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器802可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器803,处理器802读取存储器803中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,电子设备800可以被一个或多个应用专用集成电路(ASIC,Applica tion Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable LogicDevice)、现场可编程门阵列(FP GA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Cont roller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
本公开的实施例还提出了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开上述实施例中描述的安全认证方法。
本公开的实施例还提出一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行本公开上述实施例中描述的安全认证方法。
本公开的实施例还提出了一种芯片,该芯片包括一个或多个接口电路和一个或多个处理器;接口电路用于从电子设备的存储器接收信号,并向处理器发送信号,信号包括存储器中存储的计算机指令,当处理器执行计算机指令时,使得电子设备执行本公开上述实施例中描述的安全认证方法。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本说明书的描述中,参考术语“一个实施方式”、“一些实施方式”、“示意性实施方式”、“示例”、“具体示例”或“一些示例”等的描述意指结合实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理模块的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(控制方法),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得程序,然后将其存储在计算机存储器中。
应当理解,本发明的实施方式的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明的各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。
尽管上面已经示出和描述了本发明的实施方式,可以理解的是,上述实施方式是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施实施进行变化、修改、替换和变型。
Claims (10)
1.一种安全认证方法,其特征在于,所述方法由云端信息中心执行,所述云端信息中心部署于中心服务器上,所述云端信息中心包括信息管控模块、金库审批模块、Coda区块链协议模块、Coda区块链数据库,所述方法包括:
所述信息管控模块获取用户的权限申请信息,其中所述用户对应第一边缘集群,所述权限申请信息用于申请所述用户对第二边缘集群进行操作的用户权限,所述操作包括创建、读取、删除中的任一项,每个边缘集群包括一个或多个Kerberos服务器;
所述信息管控模块将所述权限申请信息发送至所述金库审批模块;
所述金库审批模块对所述权限申请信息进行审批,若审批通过,向所述信息管控模块发送审批通过消息;
所述信息管控模块向所述Coda区块链协议模块发送密钥申请;
所述Coda区块链协议模块通过zk-SNARK递归压缩算法,生成递归证明,所述递归证明用于获取所述用户对所述第二边缘集群进行操作的密钥,所述Coda区块链数据库存储所述密钥以及所述用户的信息。
2.根据权利要求1所述的方法,其特征在于,所述权限申请信息包括所述用户期望申请的所述第二边缘集群的集群标识、所述用户期望申请的业务标识。
3.根据权利要求2所述的方法,其特征在于,所述金库审批模块对所述权限申请信息进行审批包括:
确定所述集群标识和所述业务标识之间是否存在预设对应关系;
若存在,则确认审批通过。
4.根据权利要求3所述的方法,其特征在于,所述信息管控模块向所述Coda区块链协议模块发送密钥申请之前,所述方法还包括:
所述信息管控模块确定所述第一边缘集群所属的realm域内的第三边缘集群;
对所述第三边缘集群中的Kerberos服务器同时进行API调用操作,对所述第一边缘集群和所述第三边缘集群共同创建/读取/删除访问权限和用户验证信息;
所述信息管控模块将所述用户验证信息、所述第二边缘集群的客户端信息、所述第二边缘集群的服务端信息和操作信息通过所述Coda区块链协议模块保存至所述Coda区块链数据库。
5.根据权利要求4所述的方法,其特征在于,所述信息管控模块向所述Coda区块链协议模块发送密钥申请之前,所述方法还包括:
所述信息管控模块向第一边缘集群中的Kerberos服务器发起用户身份证明请求;
所述第一边缘集群中的Kerberos服务器对所述用户的身份进行认证,当所述用户的用户信息通过认证时,所述第一边缘集群中的Kerberos服务器向所述信息管控模块返回用户认证通过结果;
所述信息管控模块对所述用户是否对所述第二边缘集群具有访问权限进行认证,当认证通过时,向所述Coda区块链协议模块发送密钥申请。
6.根据权利要求5所述的方法,其特征在于,所述Coda区块链协议模块通过zk-SNARK递归压缩算法,生成递归证明之后,所述方法还包括:
所述Coda区块链协议模块将所述递归证明发送给所述信息管控模块;
所述信息管控模块将所述递归证明发送给所述第一边缘集群的Kerberos服务器;
响应于所述递归证明,所述第一边缘集群的Kerberos服务器生成并向所述信息管控模块发送票据和验证码,所述票据和所述验证码针对所述第一边缘集群有效;
所述信息管控模块存储用户标识、所述票据和所述验证码、所述第一边缘集群的标识;
所述第一边缘集群的Kerberos服务器确定所述第二边缘集群的标识是否与所述第三边缘集群的标识匹配,以确定所述第二边缘集群是否与所述第一边缘集群属于同一realm域;
若是,所述信息管控模块将所述票据和所述验证码作为对所述第二边缘集群进行操作的密钥发送给所述用户。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述信息管控模块检测到所述用户的认证操作满足预设条件,对所述用户的用户权限进行冻结,删除所述用户的用户验证信息;
其中,所述预设条件包括:所述用户的身份认证失败次数超过预设次数,或者,所述用户发起权限申请所使用的主机不是第一边缘集群的边缘主机,或者,所述用户使用的用户名不是被授权的用户名。
8.一种安全认证装置,其特征在于,包括:
信息管控模块,用于获取用户的权限申请信息,其中所述用户对应第一边缘集群,所述权限申请信息用于申请所述用户对第二边缘集群进行操作的用户权限,所述操作包括创建、读取、删除中的任一项,每个边缘集群包括一个或多个Kerberos服务器;
信息管控模块,用于将所述权限申请信息发送至所述金库审批模块;
金库审批模块,用于对所述权限申请信息进行审批,若审批通过,向所述信息管控模块发送审批通过消息;
信息管控模块,用于向所述Coda区块链协议模块发送密钥申请;
Coda区块链协议模块,用于通过zk-SNARK递归压缩算法,生成递归证明,所述递归证明用于获取所述用户对所述第二边缘集群进行操作的密钥,所述Coda区块链数据库存储所述密钥以及所述用户的信息。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
与所述一个或多个处理器通信连接的存储装置,其上存储有一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行根据权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311550026.9A CN117411716A (zh) | 2023-11-20 | 2023-11-20 | 一种安全认证方法、装置、电子设备、芯片及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311550026.9A CN117411716A (zh) | 2023-11-20 | 2023-11-20 | 一种安全认证方法、装置、电子设备、芯片及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117411716A true CN117411716A (zh) | 2024-01-16 |
Family
ID=89499896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311550026.9A Pending CN117411716A (zh) | 2023-11-20 | 2023-11-20 | 一种安全认证方法、装置、电子设备、芯片及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117411716A (zh) |
-
2023
- 2023-11-20 CN CN202311550026.9A patent/CN117411716A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11063928B2 (en) | System and method for transferring device identifying information | |
CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
CN107579958B (zh) | 数据管理方法、装置及系统 | |
WO2022083399A1 (zh) | 一种基于区块链的数据处理方法、计算机设备、计算机可读存储介质以及计算机程序产品 | |
WO2020143470A1 (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
CN110278462B (zh) | 一种基于区块链的流动放映授权管理方法 | |
EP1959368B1 (en) | Security link management in dynamic networks | |
US8971537B2 (en) | Access control protocol for embedded devices | |
CN102438044B (zh) | 一种基于云计算的数字内容可信使用控制方法 | |
CN112822675B (zh) | 面向MEC环境的基于OAuth2.0的单点登录机制 | |
US7669229B2 (en) | Network protecting authentication proxy | |
CN105262717A (zh) | 一种网络服务安全管理方法及装置 | |
CN110856174B (zh) | 一种接入认证系统、方法、装置、计算机设备和存储介质 | |
CN109040068B (zh) | 宽带用户的异地认证方法、鉴权认证服务器和区块链 | |
CN107426223B (zh) | 云文档加密及解密方法、加密及解密装置、以及处理系统 | |
CN109388937B (zh) | 一种多因子身份认证的单点登录方法及登录系统 | |
CN113515756B (zh) | 基于区块链的高可信数字身份管理方法及系统 | |
JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
CN111277607A (zh) | 通信隧道模块、应用监控模块及移动终端安全接入系统 | |
CN113472790A (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
CN102571874B (zh) | 一种分布式系统中的在线审计方法及装置 | |
CN114567491A (zh) | 一种基于零信任原则与区块链技术的医学病历共享方法与系统 | |
CN113271207A (zh) | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 | |
CN105763532A (zh) | 一种登录虚拟桌面的方法及装置 | |
CN117411716A (zh) | 一种安全认证方法、装置、电子设备、芯片及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |