[发明专利]一种分布式系统的网络安全验证方法

权利要求书

1.一种分布式系统的网络安全验证方法，该分布式网络包含至少两个分布于不同区域的服务器，其特征在于，包含以下步骤：在所述分布式网络中的服务器发生行为时，对该服务器进行身份认证，

将密钥分发中心KDC和服务票证许可服务组件KDC-TGS分别集成到各个HBase服务器以形成各个网络安全认证服务器，将Kerberos客户端分别集成到各个HBase客户端以形成各个网络安全认证客户端；

网络安全认证客户端向任意的网络安全认证服务器发送验证请求；网络安全认证服务器在验证通过之后，创建登陆会话密钥lsk和服务会话密钥ssk，向所述网络安全认证客户端返回所述lsk和ssk；并将所述lsk和ssk存储在各个网络安全认证服务器均可访问的数据中心；

网络安全认证客户端利用所述ssk与任意的网络安全认证服务器进行请求交互，被请求的网络安全认证服务器根据数据中心所存储的ssk对该网络安全认证客户端进行验证；

如果认证通过则允许该服务器发生该行为；如果认证未通过则拒绝该服务器发生该行为。

2.根据权利要求1所述的一种分布式系统的网络安全验证方法，其特征在于：所述验证请求包括：客户端用户名、利用长期密码UK加密的认证符T1以及请求服务操作信息Sinfo；网络安全认证服务端根据所述客户端用户名查询得到长期密码UK，利用所述长期密码UK对利用长期密码UK加密的认证符T1进行解密以得到认证符T1，并当验证认证符T1有效时创建登陆会话密钥lsk和服务会话密钥ssk，将所述lsk和ssk存储在各个网络安全认证服务器均可访问的数据中心，并向网络安全认证客户端发送使用长期密码UK加密的lsk、使用lsk加密的ssk以及使用ssk加密的认证符T1；网络安全认证客户端利用长期密码UK解密使用长期密码UK加密的lsk，以得到lsk；利用lsk对使用lsk加密的ssk进行解密以得到ssk；利用ssk对使用ssk加密的认证符T1进行解密以得到认证符T1，将解密得到的认证符T1与发送验证请求中的认证符T1进行对比，当验证通过时确定通过安全网络认证，并且缓存所述lsk和所述ssk；所述数据中心为常驻内存表、关系数据库或分布式缓存。

3.根据权利要求2所述的一种分布式系统的网络安全验证方法，其特征在于：该方法进一步包括：当ssk有效时间到达后，数据中心清除所保存的ssk；网络安全认证客户端利用所述lsk向任意的网络安全认证服务器更新ssk。

4.根据权利要求2所述的一种分布式系统的网络安全验证方法，其特征在于：该方法进一步包括：当lsk有效时间到达后，数据中心清除所保存的lsk；网络安全认证客户端利用所述长期密码UK向任意的网络安全认证服务器更新ssk。

5.根据权利要求1所述的一种分布式系统的网络安全验证方法，其特征在于：所述服务器行为至少包含以下之一或其任意组合：服务器启动、服务器提供服务、服务器提供数据、服务器提供操作、服务器使用系统资源；所述对服务器进行身份认证的步骤之前，还包含以下步骤：预先对所述服务器的信息进行审核，审核通过后为所述服务器分配一数字证书和密钥，所述服务器的信息与所分配的数字证书和密钥绑定；所述对服务器进行身份认证的步骤中，对所述服务器的数字证书及密钥进行验证，并验证该数字证书所绑定的服务器信息与所述认证中的服务器信息是否匹配，如果数字证书及密钥通过验证，且服务器信息匹配，则所述服务器认证通过。

6.根据权利要求5所述的一种分布式系统的网络安全验证方法，其特征在于：所述数字证书及密钥保存于一外接存储模块中，所述对服务器的数字证书及密钥进行验证的步骤中，通过该服务器连接的外接存储模块，获取该服务器的数字证书和密钥，并实现对该服务器数字证书及密钥的验证；所述服务器与所述外接存储模块断开连接后，无法验证该数字证书及密钥；所述服务器信息由以下之一或其任意组合构成：服务器名、服务器IP地址、服务器MAC地址及服务器标识。