[发明专利]一种基于Kerberos身份鉴别协议的智慧教育安全防护方法和系统

说明书

本发明提出了一种基于Kerberos身份鉴别协议的智慧教育安全防护方法和系统，所述安全防护方法包括：用户通过密码向Kerberos服务器进行身份验证，身份验证后的有效性在用户本地保留到预设的预留时间段；利用Kerberos服务器根据用户的申请，联合用户所需服务对应的后台服务器对用户的真实性进行验证，并根据验证结果确定后台服务器是否对所述用户进行服务连接；将真实用户所需服务需求发送至区块链网络中，所述区块链网络对用户需求进行对应处理。所述系统包括与所述方法步骤对应的模块。

技术领域

本发明提出一种基于Kerberos身份鉴别协议的智慧教育安全防护方法和系统，属于智慧教育技术领域。

背景技术

目前大数据平台主流采用Hadoop生态组件为主，Hadoop生态最初是没有设计安全机制，也没有安全模型和整体的安全规划，后期随着应用场景的不断增加，存在越权提交作业、修改Job Tracke状态、篡改数据等恶意行为现象。因此才加入了Kerberos认证、文件ACL访问控制、网络层加密等安全措施，这些安全功能可以解决部分安全问题，但仍然存在局限性。在身份管理和访问控制方面，可依赖于Linux的身份和权限管理机制，但身份管理仅支持用户和用户组，不支持角色；仅有可读、可写、可执行三个权限，不能满足基于角色的身份管理和细粒度访问控制等新的安全需求，且Hadoop生态组件内容多且版本也多，从而导致难以去对每个组件每个版本进行安全的管控操作，因此需要有细颗粒度的权限管理机制授予各组件的访问安全，从而确保大数据底层组件的使用安全。

发明内容

本发明提供了一种基于Kerberos身份鉴别协议的智慧教育安全防护方法，用以解决无法保证大数据底层组件的使用安全的问题：

一种基于Kerberos身份鉴别协议的智慧教育安全防护方法，所述安全防护方法包括：

用户通过密码向Kerberos服务器进行身份验证，身份验证后的有效性在用户本地保留到预设的预留时间段；

利用Kerberos服务器根据用户的申请，联合用户所需服务对应的后台服务器对用户的真实性进行验证，并根据验证结果确定后台服务器是否对所述用户进行服务连接；

将真实用户所需服务需求发送至区块链网络中，所述区块链网络对用户需求进行对应处理。

进一步地，所述预设的预留时间段通过如下公式进行确定：

其中，T_y表示预设的预留时间段；F_i表示智慧教育系统运行第i个小时时，用户的访问频率；n表示所述智慧教育系统的运行小时的数量；F_max表示智慧教育系统运行当前时长之后，每小时的用户访问频率的最大值；F_min表示智慧教育系统运行当前时长之后，每小时的用户访问频率的最小值；C表示用户的身份验证后的有效性在用户本地存储的已存储数据量；C_max表示本地允许存储用户的身份验证有效性的存储量阈值；T₀表示预留时间段初始值。

进一步地，所述利用Kerberos服务器根据用户的申请，联合用户所需服务对应的后台服务器对用户的真实性进行验证，并根据验证结果确定后台服务器是否对所述用户进行服务连接，包括：

用户向Kerberos服务器申请与具体服务对应的服务秘钥，所述Kerberos服务器在接收到服务秘钥申请后，将用户所要连接服务对应的服务所需信息和用户自身信息进行加密，获得对应服务秘钥，并将所述对应服务秘钥返回给用户；

用户将所述对应服务秘钥转发给与用户所需服务对应的具体的后台服务器；

所述后台服务器在接收到用户发送的对应服务秘钥后，利用自身的秘钥解密获得经过Kerberos服务器认证过的用户信息；