CN114050932A - 分布式***的网络安全验证方法和*** - Google Patents
分布式***的网络安全验证方法和*** Download PDFInfo
- Publication number
- CN114050932A CN114050932A CN202111327903.7A CN202111327903A CN114050932A CN 114050932 A CN114050932 A CN 114050932A CN 202111327903 A CN202111327903 A CN 202111327903A CN 114050932 A CN114050932 A CN 114050932A
- Authority
- CN
- China
- Prior art keywords
- access
- verification
- request
- control server
- distributed system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供分布式***的网络安全验证方法和***,包括:客户端用于根据命令发出向登记控制服务器访问的请求;登记控制服务器用于响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果;转发端用于根据验证结果,向管理端发出访问数据资源的新请求;管理端用于根据新请求与生成验证结果对比判断是否一致;以及用于根据判断结果响应是否同意访问数据资源。本发明,不仅保证本地信息域间流动的安全性,且可以保证异地组织的访问控制,实现了分布式系的组织之间更好的协作与资源的有计划的共享,同时避免了单一验证出现网络盗窃等问题的状况发生,验证的效果更好,更严谨。
Description
技术领域
本发明涉及安全认证技术领域,具体为一种分布式***的网络安全验证方法和***。
背景技术
分布式计算机网络由多个相互连接在一起的客户机和服务器组成,并且其中的任一***都可能与另一个***进行通信。在这种网络中,不存在一个处理和控制中心,网络中任一结点都至少和另外两个结点相连接,信息从一个结点到达另一结点时,可能有多条路径。同时,网络中各个结点均以平等地位相互协调工作和交换信息,并可共同完成一个大型任务。分组交换网、网状形网属于分布式网络。这种网具有信息处理的分布性、可靠性、可扩充性及灵活性等一系列优点。因此,它是网络发展的方向。但是目前的分布式***的网络安全存在隐患,因此需要改进。
发明内容
本发明的目的在于提供一种分布式***的网络安全验证方法和***,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种分布式***的网络安全验证方法,包括:
根据命令发出向登记控制服务器访问的请求;
响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果;
根据验证结果,向管理端发出访问数据资源的新请求;
管理端根据新请求与生成验证结果对比判断是否一致;
根据判断结果响应是否同意访问数据资源。
优选的,首先生成秘钥以及用于匹配访问该秘钥的公钥,然后将一对秘钥和公钥分别分配到请求方、管理端以及登记控制服务器,并通过向登记控制服务器记录。
优选的,响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果具体包括:验证访问如果符合设定的安全策略,则发出一个验证确认邀请,如果不符合安全策略,就拒绝访问。
优选的,根据验证确认邀请,请求方转发,并向管理端发出访问数据资源的新请求,根据拒绝访问的结果,请求方停止访问数据资源的,并生成日志报告。
优选的,新请求与生成验证结果对比判断如果一致,则管理端同意请求方访问数据资源,新请求与生成验证结果对比判断如果不一致,则管理端拒绝请求方访问数据资源,并生成日志报告。
为实现上述目的,本发明还提供如下技术方案:
一种分布式***的网络安全验证方法,包括:
客户端,用于根据命令发出向登记控制服务器访问的请求;
登记控制服务器,用于响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果;
转发端,用于根据验证结果,向管理端发出访问数据资源的新请求;
管理端,用于根据新请求与生成验证结果对比判断是否一致;以及用于根据判断结果响应是否同意访问数据资源。
优选的,还包括:钥匙管理端,该钥匙管理端通过中继服务器与登记控制服务器数据交互,用于生成秘钥以及用于匹配访问该秘钥的公钥,然后将一对秘钥和公钥分别分配到请求方和管理端,并通过向登记控制服务器记录。
优选的,还包括:记录端,该记录端与客户端数据交互,用于生成日志报告。
优选的,还包括:防火墙,该防火墙位于转发端和控制端之间,用于控制端根据判断结果响应客户端是否同意访问数据资源。
与现有技术相比,本发明的有益效果是:
本发明中,采用秘钥、公钥来实现异地组织之间的访问控制,采用Kerberos认证交换服务来实现本地组织之间的访问控制。不仅保证本地信息域间流动的安全性,且可以保证异地组织的访问控制,实现了分布式系的组织之间更好的协作与资源的有计划的共享,同时避免了单一验证出现网络盗窃等问题的状况发生,验证的效果更好,更严谨。
附图说明
图1为本发明的验证方法流程示意图;
图2为本发明的***拓扑示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:
请参阅图1至图2,本发明提供一种技术方案:
一种分布式***的网络安全验证方法,包括:
根据命令发出向登记控制服务器访问的请求;
响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果;
根据验证结果,向管理端发出访问数据资源的新请求;
管理端根据新请求与生成验证结果对比判断是否一致;
根据判断结果响应是否同意访问数据资源。
具体的,首先生成秘钥以及用于匹配访问该秘钥的公钥,然后将一对秘钥和公钥分别分配到请求方、管理端以及登记控制服务器,并通过向登记控制服务器记录。
具体的,响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果具体包括:验证访问如果符合设定的安全策略,则发出一个验证确认邀请,如果不符合安全策略,就拒绝访问。
具体的,根据验证确认邀请,请求方转发,并向管理端发出访问数据资源的新请求,根据拒绝访问的结果,请求方停止访问数据资源的,并生成日志报告。
具体的,新请求与生成验证结果对比判断如果一致,则管理端同意请求方访问数据资源,新请求与生成验证结果对比判断如果不一致,则管理端拒绝请求方访问数据资源,并生成日志报告。
在本实施例中还提供一种分布式***的网络安全验证方法,包括:
客户端,用于根据命令发出向登记控制服务器访问的请求;
登记控制服务器,用于响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果;
转发端,用于根据验证结果,向管理端发出访问数据资源的新请求;
管理端,用于根据新请求与生成验证结果对比判断是否一致;以及用于根据判断结果响应是否同意访问数据资源。
具体的,还包括:钥匙管理端,该钥匙管理端通过中继服务器与登记控制服务器数据交互,用于生成秘钥以及用于匹配访问该秘钥的公钥,然后将一对秘钥和公钥分别分配到请求方和管理端,并通过向登记控制服务器记录。
具体的,还包括:记录端,该记录端与客户端数据交互,用于生成日志报告。
具体的,还包括:防火墙,该防火墙位于转发端和控制端之间,用于控制端根据判断结果响应客户端是否同意访问数据资源。
在本实施例中,上述的请求方是指客户端一方,用于向登记控制服务器访问的请求。
在本实施例中,首先利用秘钥、公钥来实现异地组织之间的访问控制,其次利用Kerberos认证交换服务来实现本地组织之间的访问控制。一是保证本地信息域间流动的安全性,二是保证异地组织的访问控制。实现了分布式系的组织之间更好的协作与资源的有计划的共享。
在本实施例中,通过设置登记控制服务器,保证本地信息域间流动的安全性,用于为整个域内控制器提供访问控制服务,客户端和管理端以及登记控制服务器均拥有一对密钥和访问控制服务器的公钥,当客户端要以管理端访问数据资源服务器的数据资源时如图2所示:客户端向登记控制服务器提出申请,登记控制服务器收到申请后检验是否由客户端发出,然后检验这一扩散是否符合***的安全策略;如果符合的话,将返回给客户端一个验证确认邀请,如果不符合***的安全策略的话,就拒绝其访问;登记控制服务器转发验证确认邀请的回复给用户客户端;客户端通过将验证确认邀请下发到转发端;转发端使用获得验证确认邀请来向管理端验证,得到肯定的回复后,管理端通过防火墙将转发端设置成白名单,然后转发端可以申请获得数据资源服务器的数据资源,并打包回传到客户端。
在本实施例中,在遇到拒绝访问、请求方停止访问数据资源的等时候,记录端会生成日志报告,必要的时候设置报警程序,在生成日志报告同时可以同步报警。
在本实施例中,钥匙管理端用于登记秘钥和公钥,并通过可存储在中继服务器中。
在本实施例中,为了保证如客户端、管理端异地信息域间流动的安全性,将所有的本地访问控制服务器组成一个秘钥和公钥***,为所有的访问控制服务器提供访问控制服务。
在本实施例中,登记控制服务器拥有一份证书,当客户端要以管理端要访问管理端处所对应的数据资源服务器的数据资源时,只需要出示其证件即可获得验证。如果管理端认为此需求不符合***的安全策略的话,可拒绝其访问。
在本实施例中,在验证确认邀请过程中,由于信息的流动伴随着一个时间长度的问题,因此在向登记控制服务器申请时,有必要加入时间参数,分发给客户端的验证确认邀请中也应包含时间参数,以此来标识有效期。一旦过期,验证确认邀请就会自动失效。
本发明中,采用秘钥、公钥来实现异地组织之间的访问控制,采用Kerberos认证交换服务来实现本地组织之间的访问控制。不仅保证本地信息域间流动的安全性,且可以保证异地组织的访问控制,实现了分布式系的组织之间更好的协作与资源的有计划的共享,同时避免了单一验证出现网络盗窃等问题的状况发生,验证的效果更好,更严谨。
本发明,其余未叙述部分均可与现有技术相同、或为公知技术或可采用现有技术加以实现,此处不再详述。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (9)
1.一种分布式***的网络安全验证方法,其特征在于,包括:
根据命令发出向登记控制服务器访问的请求;
响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果;
根据验证结果,向管理端发出访问数据资源的新请求;
管理端根据新请求与生成验证结果对比判断是否一致;
根据判断结果响应是否同意访问数据资源。
2.根据权利要求1所述的一种分布式***的网络安全验证方法,其特征在于,首先生成秘钥以及用于匹配访问该秘钥的公钥,然后将一对秘钥和公钥分别分配到请求方、管理端以及登记控制服务器,并通过向登记控制服务器记录。
3.根据权利要求1所述的一种分布式***的网络安全验证方法,其特征在于,响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果具体包括:验证访问如果符合设定的安全策略,则发出一个验证确认邀请,如果不符合安全策略,就拒绝访问。
4.根据权利要求3所述的一种分布式***的网络安全验证方法,其特征在于,根据验证确认邀请,请求方转发,并向管理端发出访问数据资源的新请求,根据拒绝访问的结果,请求方停止访问数据资源的,并生成日志报告。
5.根据权利要求1所述的一种分布式***的网络安全验证方法,其特征在于,新请求与生成验证结果对比判断如果一致,则管理端同意请求方访问数据资源,新请求与生成验证结果对比判断如果不一致,则管理端拒绝请求方访问数据资源,并生成日志报告。
6.一种分布式***的网络安全验证方法,其特征在于,包括:
客户端,用于根据命令发出向登记控制服务器访问的请求;
登记控制服务器,用于响应访问请求,验证访问是否符合设定的安全策略,并生成验证结果;
转发端,用于根据验证结果,向管理端发出访问数据资源的新请求;
管理端,用于根据新请求与生成验证结果对比判断是否一致;以及用于根据判断结果响应是否同意访问数据资源。
7.根据权利要求6所述的一种分布式***的网络安全验证方法,其特征在于,还包括:钥匙管理端,该钥匙管理端通过中继服务器与登记控制服务器数据交互,用于生成秘钥以及用于匹配访问该秘钥的公钥,然后将一对秘钥和公钥分别分配到请求方和管理端,并通过向登记控制服务器记录。
8.根据权利要求6所述的一种分布式***的网络安全验证方法,其特征在于,还包括:记录端,该记录端与客户端数据交互,用于生成日志报告。
9.根据权利要求6所述的一种分布式***的网络安全验证方法,其特征在于,还包括:防火墙,该防火墙位于转发端和控制端之间,用于控制端根据判断结果响应客户端是否同意访问数据资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111327903.7A CN114050932A (zh) | 2021-11-10 | 2021-11-10 | 分布式***的网络安全验证方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111327903.7A CN114050932A (zh) | 2021-11-10 | 2021-11-10 | 分布式***的网络安全验证方法和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114050932A true CN114050932A (zh) | 2022-02-15 |
Family
ID=80208160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111327903.7A Pending CN114050932A (zh) | 2021-11-10 | 2021-11-10 | 分布式***的网络安全验证方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114050932A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| WO2017053048A1 (en) * | 2015-09-25 | 2017-03-30 | Pcms Holdings, Inc. | Domain based iot authorization and authentication |
| CN111737741A (zh) * | 2020-06-19 | 2020-10-02 | 中国工商银行股份有限公司 | 分布式数据库集群访问方法及中间服务层 |
| US20210218740A1 (en) * | 2019-04-29 | 2021-07-15 | Tsinghua University | Method and device for cross-domain strong logical isolation and secure access control in the internet of things |
| CN113411345A (zh) * | 2021-06-29 | 2021-09-17 | 中国农业银行股份有限公司 | 一种安全会话的方法和装置 |
| CN113468614A (zh) * | 2021-07-23 | 2021-10-01 | 成都卓拙科技有限公司 | 一种基于Bulletproofs的Kerberos跨域认证方法 |
-
2021
- 2021-11-10 CN CN202111327903.7A patent/CN114050932A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| WO2017053048A1 (en) * | 2015-09-25 | 2017-03-30 | Pcms Holdings, Inc. | Domain based iot authorization and authentication |
| US20210218740A1 (en) * | 2019-04-29 | 2021-07-15 | Tsinghua University | Method and device for cross-domain strong logical isolation and secure access control in the internet of things |
| CN111737741A (zh) * | 2020-06-19 | 2020-10-02 | 中国工商银行股份有限公司 | 分布式数据库集群访问方法及中间服务层 |
| CN113411345A (zh) * | 2021-06-29 | 2021-09-17 | 中国农业银行股份有限公司 | 一种安全会话的方法和装置 |
| CN113468614A (zh) * | 2021-07-23 | 2021-10-01 | 成都卓拙科技有限公司 | 一种基于Bulletproofs的Kerberos跨域认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110598394B (zh) | 一种权限验证方法、装置和存储介质 | |
| US8756423B2 (en) | System and method for establishing a secure group of entities in a computer network | |
| US8387136B2 (en) | Role-based access control utilizing token profiles | |
| US8387137B2 (en) | Role-based access control utilizing token profiles having predefined roles | |
| Habiba et al. | Cloud identity management security issues & solutions: a taxonomy | |
| WO2021115449A1 (zh) | 跨域访问***、方法及装置、存储介质及电子装置 | |
| US8495155B2 (en) | Enterprise management of public instant message communications | |
| US20090158394A1 (en) | Super peer based peer-to-peer network system and peer authentication method thereof | |
| US20100154040A1 (en) | Method, apparatus and system for distributed delegation and verification | |
| US11750561B2 (en) | Method and apparatus for providing secure internal directory service for hosted services | |
| CN103404103A (zh) | 将访问控制***与业务管理***相结合的***和方法 | |
| US9548982B1 (en) | Secure controlled access to authentication servers | |
| EP1830512A1 (en) | A method and system for realizing the domain authentication and network authority authentication | |
| CN114338242B (zh) | 一种基于区块链技术的跨域单点登录访问方法及*** | |
| JP5023804B2 (ja) | 認証方法及び認証システム | |
| Bazaz et al. | A review on single sign on enabling technologies and protocols | |
| KR20080019362A (ko) | 대체 가능한 지역 도메인 관리 시스템 및 방법 | |
| Mishra et al. | A cooperative trust management framework for load balancing in cluster based distributed systems | |
| CN114050932A (zh) | 分布式***的网络安全验证方法和*** | |
| CN114666341A (zh) | 一种去中心化sdp控制器实现方法及计算机存储介质 | |
| Fugkeaw et al. | Multi-Application Authentication based on Multi-Agent System. | |
| CN111447090A (zh) | 一种多业务***间的配置管控*** | |
| CN114978611B (zh) | 请求接入公网的安全管理方法、公网服务***及存储介质 | |
| CN116155631B (zh) | 一种企业级的正反向级联认证方法及*** | |
| US20240236069A9 (en) | System and method for safely relaying and filtering kerberos authentication and authorization requests across network boundaries |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |