[发明专利]一种分布式系统的网络安全验证方法

说明书

一种分布式系统的网络安全验证方法，包含以下步骤：在所述分布式网络中的服务器发生行为时，对该服务器进行身份认证，将密钥分发中心KDC和服务票证许可服务组件KDC‑TGS分别集成到各个HBase服务器以形成各个网络安全认证服务器，将Kerberos客户端分别集成到各个HBase客户端以形成各个网络安全认证客户端；网络安全认证客户端利用所述ssk与任意的网络安全认证服务器进行请求交互，被请求的网络安全认证服务器根据数据中心所存储的ssk对该网络安全认证客户端进行验证；通过将服务器的数字证书、密钥与服务器信息绑定，使得一台服务器只能对应一个固定的数字证书和密钥，进一步确保服务器身份认证的有效性和完整性。

技术领域

本发明属于分布式系统技术领域，特别是一种分布式系统的网络安全验证方法和系统。

背景技术

随着工业自动化控制的迅速发展，愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备(Intelligent Electric Device-IED)互联在一起，形成生产控制系统网络。这种工业企业用内部(或专用)网络称之为工业互联网。

大型企业，如电力公司、油气输送企业、以矿产资源勘查和开发为主的大型矿业集团，其控股公司往往分布在全国乃至全球各地，仅使用内部网络无法满足其信息交互需求。随着工业互联网的发展，工业互联网不再局限于一个场站或一个城市，利用已有公众网络(万维互联网)的硬件和软件设施，将两个或更多个工业互联网进行通讯连接，使得一个中心控制系统能对所有个子生产控制系统进行监督和控制，也使得多个子生产控制系统之间能相互通讯，形成一个更大的工业互联网，对其资源进行更优化控制和使用。

由于工业互联网中各子系统通常分布在各个地区，为了提高系统运行效率、均衡负载，提高系统稳健性，在工业互联网中通常使用分布式系统，提供分布式数据库、分布式服务等，由工业互联网中不同的服务器分别进行数据存储、信息处理、传输、提供服务等。一个分布式系统中的每台计算机都有自己的处理器、存储器和外部设备，它们既可独立工作，亦可合作。在这个系统中各计算机可以并行操作且可以有多个控制中心，即具有并行处理和分布式控制的功能。另外，分布式系统是一个一体化的系统，在整个系统中要有一个全局的操作系统，它负责全系统(包括每台计算机)的资源分配和调度、任务划分、信息传输、控制协调等工作，并为用户提供一个统一的界面、标准的接口。于是，分布式操作系统便诞生了。有了分布式操作系统，用户通过统一界面实现所需操作和使用系统资源，至于操作是在哪个计算机上执行的或使用的是哪个计算机的资源则是系统的事，用户是无须了解，也就是说系统对用户是透明的。

由于工业互联网中传输的信息均为工业内部信息，提供的服务为内部服务，因此对安全性要求很高。为了确保安全性，在工业互联网中，在获取服务或数据、信息之前，用户、客户端及应用进程均需要进行相应的身份认证。认证的实质就是证实被认证对象是否属实和是否有效的过程。一般采用密码技术，使用数字证书验证被认证对象，达到确认被认证对象是否真实、有效的目的。

只有在对角色对象进行识别和鉴别后，才能在鉴别身份的基础上进一步执行操作。以用户为例，工业互联网系统对每一个处于客户端的用户进行身份鉴别，鉴别通过后由证书认证中心(Certificate Authority，简称“CA认证中心”)颁发数字证书和密钥。用户在客户端登录及运行操作或者访问资源时，系统首先会对其所提供的证书和密钥进行鉴定，只有在证明用户合法身份后，其所提出的请求才会得到系统的响应。

本发明的发明人发现在现有分布式网络系统中，用户、客户端和应用进程都具备认证身份的数字证书和密钥。系统通过数字证书和密钥对其进行身份认证，为其提供服务。