[发明专利]一种分布式系统的网络安全验证方法和系统

说明书

技术领域

本发明属于分布式系统技术领域，特别是一种分布式系统的网络安全验证方法和系统。

背景技术

随着计算机技术和网络技术的飞速发展，互联网(Internet)技术在人们的日常生活、学习和工作中发挥的作用也越来越大。而且，随着移动互联网的发展，互联网也在向移动化发展。在当今的信息时代中，各种信息设备应运而生：有用于话音传输的固定电话、移动终端；有用于信息资源共享、处理的服务器和个人电脑；有用于视频数据显示的各种电视机等等。这些设备都是在特定领域内为解决实际需求而产生的。随着电子消费、计算机、通信(3C)融合的到来，人们越来越多地将注意力放到了对各个不同领域的信息设备进行综合利用的研究上，以充分利用现有资源设备来为人们更好的服务。

分布式系统(distributed system)是建立在网络之上的软件系统。正是因为软件的特性，所以分布式系统具有高度的内聚性和透明性。因此，网络和分布式系统之间的区别更多的在于高层软件(特别是操作系统)，而不是硬件。内聚性是指每一个数据库分布节点高度自治，有本地的数据库管理系统。透明性是指每一个数据库分布节点对用户的应用来说都是透明的，看不出是本地还是远程。在分布式数据库系统中，用户感觉不到数据是分布的，即用户不须知道关系是否分割、有无副本、数据存于哪个站点以及事务在哪个站点上执行等。

在目前的HBase等分布式系统的安全网络验证中，具有不易维护和不易扩展等问题，而且kerberos协议中具有单点问题。

发明内容

本发明实施方式提出一种分布式系统的网络安全验证方法，以提高维护和扩展程度。

本发明实施方式提出一种分布式系统的网络安全验证系统，以提高维护和扩展程度。

本发明实施方式的技术方案如下：

一种分布式系统的网络安全验证方法，该方法包括：

将密钥分发中心KDC和服务票证许可服务组件KDC-TGS分别集成到各个HBase服务器以形成各个网络安全认证服务器，将Kerberos客户端分别集成到各个HBase客户端以形成各个网络安全认证客户端；

网络安全认证客户端向任意的网络安全认证服务器发送验证请求；网络安全认证服务器在验证通过之后，创建登陆会话密钥lsk和服务会话密钥ssk，向所述网络安全认证客户端返回所述lsk和ssk；并将所述lsk和ssk存储在各个网络安全认证服务器均可访问的数据中心；

网络安全认证客户端利用所述ssk与任意的网络安全认证服务器进行请求交互，被请求的网络安全认证服务器根据数据中心所存储的ssk对该网络安全认证客户端进行验证。

所述验证请求包括：客户端用户名、利用长期密码UK加密的认证符T1以及请求服务操作信息Sinfo；

网络安全认证服务端根据所述客户端用户名查询得到长期密码UK，利用所述长期密码UK对利用长期密码UK加密的认证符T1进行解密以得到认证符T1，并当验证认证符T1有效时创建登陆会话密钥lsk和服务会话密钥ssk，将所述lsk和ssk存储在各个网络安全认证服务器均可访问的数据中心，并向网络安全认证客户端发送使用长期密码UK加密的lsk、使用lsk加密的ssk以及使用ssk加密的认证符T1；

网络安全认证客户端利用长期密码UK解密使用长期密码UK加密的lsk，以得到lsk；利用lsk对使用lsk加密的ssk进行解密以得到ssk；利用ssk对使用ssk加密的认证符T1进行解密以得到认证符T1，将解密得到的认证符T1与发送验证请求中的认证符T1进行对比，当验证通过时确定通过安全网络认证，并且缓存所述lsk和所述ssk。

所述数据中心为常驻内存表、关系数据库或分布式缓存。

该方法进一步包括：当ssk有效时间到达后，数据中心清除所保存的ssk；

网络安全认证客户端利用所述lsk向任意的网络安全认证服务器更新ssk。

该方法进一步包括：当lsk有效时间到达后，数据中心清除所保存的lsk；

网络安全认证客户端利用所述长期密码UK向任意的网络安全认证服务器更新ssk。

一种分布式系统的网络安全验证系统，该网络安全验证系统包括：将密钥分发中心KDC和服务票证许可服务组件KDC-TGS分别集成到各个HBase服务器以形成的各个网络安全认证服务器；以及将Kerberos客户端分别集成到各个HBase客户端以形成的各个网络安全认证客户端；

网络安全认证客户端，用于向任意的网络安全认证服务器发送验证请求；