分布式系统节点身份认证方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全领域,尤其涉及分布式系统节点身份认证方法及装置。
【背景技术】
[0002]分布式系统中,节点之间存在大规模的数据访问。为实现网络和系统安全,在数据交互访问过程中,通常要对节点进行身份认证,以防止节点被假冒。目前,分布式系统节点身份认证主要有三类方法:
[0003]第一类方法采用“你知道的/What you know”认证机制。该类方法中,执行认证的一方要求被认证的一方给出唯一性的认证凭证,例如常见的用户名/ 口令认证方法,其中口令是只有用户知道的认证凭证。执行认证的一方在接收到被认证的一方传入的用户名和口令后,找到与用户名对应的预先存储的变形口令,并将接收到的口令进行同样的变形处理,例如经过哈希(HASH)算法处理,得到变形后的口令,然后,将所述变形后的口令与所述预先存储的变形口令进行比对,如果两者匹配,则认证通过,否则认证失败。
[0004]第二类方法采用“你拥有的/What you have ”认证机制。该类方法中,执行认证的一方要求被认证的一方给出证明其身份的认证凭证,通过所述认证凭证实现身份认证。例如,SSL/TLS (Secure Sockets Layer/Transport Layer Security,安全套接层 / 传输层安全)协议中,发送方和应答方在建立连接前,需要发送方(被认证的一方)向应答方(执行认证的一方)提供CA (Certificate Authority,电子商务认证授权机构)证书,或者需要双方相互提供CA证书,以验证对方身份的真实性。
[0005]第三类方法采用“你是谁/What you are”认证机制。该类方法中,被认证的一方向执行认证的一方提供自己区别于其他方的特征信息来实现身份认证,所述特征信息,例如指纹数据等。执行认证的一方接收到被认证的一方发送的特征信息后,根据所述特征信息在执行认证一方的特征信息数据库中进行检索,如果找到所述特征信息,则被认证的一方通过身份认证。
[0006]上述三类方法中,第一类方法的缺点是:1、认证凭证容易泄露;2、认证凭证要有一定的复杂度和防暴力破解机制,因此,认证凭证的管理难度高;3、复杂的认证凭证难于记忆,不便于检查和修改。第二类方法的缺点是使用不方便,按照第二类方法,需向认证证书颁发机构申请证书,,而且认证证书通常数据量较大,影响数据传输性能。第三类方法的缺点是复杂度高,实现困难,按照第三类方法,首先要采集被认证一方的指纹数据,所述指纹数据通常比较复杂,数据量较大,影响数据传输性能,而且,检索过程消耗的计算资源也较多。
[0007]另外,节点之间可能只需对部分数据的交互进行身份认证,这些数据其本身的机密性并不重要,重要的是数据的真实性,例如管理命令和NTP(Network Time Protocol,网络时间协议)时间同步消息等。在这种情况下,如果认证双方采用上述第一类认证方法,在认证完成后,还要维护认证状态的有效性,以便基于有效性进行授权和访问控制;如果采用第二类或第三类方法,在通过身份认证后,还要保持认证状态,建立安全通道,以此来保证其它数据的交互。
【发明内容】
[0008]本发明实施例提供了一种分布式系统节点身份认证方法及装置,以解决现阶段节点身份认证方法难以满足简便轻量的要求的问题。
[0009]第一方面,本发明实施例提供一种分布式系统节点身份认证方法,应用于被认证节点,包括:
[0010]当被认证节点和执行认证的节点之间需要进行身份认证时,被认证节点从原语库中选取一个目标认证原语,所述原语库为认证原语的集合,所述认证原语为表征被认证节点唯一性的语句,且满足被认证节点的预设语义规则;
[0011]将所述目标认证原语发送给执行认证的节点,以使所述执行认证的节点根据所述目标认证原语对被认证节点进行认证。
[0012]结合第一方面,在第一方面第一种可能的实现方式中,所述被认证节点从所述原语库中随机选取一个目标认证原语。
[0013]结合第一方面或第一方面第一种可能的实现方式,在第一方面第二种可能的实现方式中,所述方法,在将所述目标认证原语发送给执行认证的节点之前,还包括:加密所述目标认证原语。
[0014]第二方面,本发明实施例还提供一种分布式系统节点身份认证方法,应用于执行认证的节点,包括:
[0015]接收被认证节点发送的目标认证原语;
[0016]提取所述目标认证原语的语义,作为目标语义,并验证原语语义库中是否存在所述目标语义;
[0017]如果所述原语语义库中存在所述目标语义,则被认证节点的身份认证通过,否则,被认证节点的身份认证失败;
[0018]其中,所述原语语义库预先根据原语库生成,所述原语库为认证原语的集合,所述认证原语为表征被认证节点唯一性的语句,且满足被认证节点的预设语义规则。
[0019]结合第二方面,在第二方面第一种可能的实现方式中,所述提取所述目标认证原语的语义,作为目标语义,并验证原语语义库中是否存在所述目标语义,包括:
[0020]获取所述目标认证原语的哈希值,作为目标语义,并验证所述目标语义是否存在于所述原语语义库的布隆散列;
[0021]所述布隆散列,为获取原语库的认证原语的哈希值后,根据所述认证原语的哈希值构建而成,所述原语语义库由所述布隆散列组成。
[0022]结合第二方面,在第二方面第二种可能的实现方式中,所述提取所述目标认证原语的语义,作为目标语义,并验证原语语义库中是否存在所述目标语义,包括:
[0023]使用学习算法提取所述目标认证原语的特征,作为目标语义;
[0024]计算所述目标语义与所述原语语义库中特征的匹配度;
[0025]判断所述匹配度是否大于或等于预设阈值,如果所述匹配度大于或等于所述预设阈值,则所述原语语义库中存在所述目标语义,否则,所述原语语义库中不存在所述目标语义;
[0026]其中,所述原语语义库为所述原语库中认证原语的特征的集合,所述认证原语的特征通过对认证原语使用所述学习算法提取得到。
[0027]结合第二方面,在第二方面第三种可能的实现方式中,所述方法,在接收被认证节点发送的目标认证原语之后,提取所述目标认证原语的语义之前,还包括:
[0028]检验所述目标认证原语是否符合被认证节点的预设语义规则;
[0029]当所述目标认证原语符合所述预设语义规则时,允许执行提取所述目标认证原语的语义的步骤。
[0030]结合第二方面或第二方面第一种至第三种可能的实现方式其中任意一种,在第二方面第四种可能的实现方式中,所述方法,在接收被认证节点发送的目标认证原语之后,提取所述目标认证原语的语义之前,还包括:
[0031]检验所述目标认证原语是否被加密;
[0032]当所述目标认证原语被加密时,分析所述目标认证原语的加密方法;
[0033]获取与所述加密方法对应的解密方法,并使用所述解密方法解密所述目标认证原语。
[0034]第三方面,本发明实施例还提供一种分布式系统节点身份认证方法,包括:
[0035]建立原语库,所述原语库为认证原语的集合,所述认证原语为表征被认证节点唯一性的语句,且满足被认证节点的预设语义规则;
[0036]根据所述原语库生成原语语义库;
[0037]当被认证节点和执行认证的节点之间需要进行身份认证时,被认证节点从所述原语库中选取一个目标认证原语;
[0038]被认证节点将所述目标认证原语发送给执行认证的节点;
[0039]执行认证的节点接收所述被认证节点发送的目标认证原语;
[0040]执行认证的节点提取所述目标认证原语的语义,作为目标语义,并验证所述原语语义库中是否存在所述目标语义;
[0041]如果所述原语语义库中存在所述目标语义,则被认证节点的身份认证通过,否则,被认证节点的身份认证失败。
[0042]结合第三方面,在第三方面第一种可能的实现方式中,当被认证节点和执行认证的节点之间需要进行身份认证时,所述被认证节点从所述原语库中随机选取一个目标认证原语。
[0043]结合第三方面,在第三方面第二种可能的实现方式中,所述根据所述原语库生成原语语义库,包括:
[0044]获取原语库的认证原语的哈希值,并根据所述认证原语的哈希值构建布隆散列;
[0045]所述提取所述目标认证原语的语义,作为目标语义,并验证原语语义库中是否存在所述目标语义,包括:获取所述目标认证原语的哈希值,作为目标语义,并验证所述目标语义是否存在于所述布隆散列。
[0046]结合第三方面,在第三方面第三种可能的实现方式中,所述根据所述原语库生成原语语义库,包括:
[0047]使用学习算法提取原语库中认证原语的特征,以所述特征的集合为原语语义库;
[0048]所述提取所述目标认证原语的语义,作为目标语义,并验证原语语义库中是否存在所述目标语义,包括:
[0049]使用所述学习算法提取所述目标认证原语的特征,作为目标语义;
[0050]计算所述目标语义与所述原语语义库中特征的匹配度;
[0051]判断所述匹配度是否大于或等于预设阈值,如果所述匹配度大于或等于所述预设阈值,则所述原语语义库中存在所述目标语义,否则,所述原语语义库中不存在所述目标语义。
[0052]结合第三方面,在第三方面第四种可能的实现方式中,所述方法,在接收所述被认证节点发送的目标认证原语之后,提取所述目标认证原语的语义之前,还包括:
[0053]执行认证的节点检验所述目标认证原语是否符合被认证节点的预设语义规则;
[0054]当所述目标认证原语符合所述预设语义规则时,允许执行提取所述目标认证原语的语义的步骤。
[0055]结合第三方面或第三方面第一种至第四种可能的实现方式其中任意一种,在第三方面第五种可能的实现方式中,所述方法,在将所述目标认证原语发送给执行认证的节点之前,还包括:被认证节点加密所述目标认证原语。
[0056]结合第三方面第五种可能的实现方式,在第三方面第六种可能的实现方式中,所述方法,在接收被认证节点发送的目标认证原语之后,提取所述目标认证原语的语义之前,还包括:
[0057]执行认证的节点检验所述目标认证原语是否被加密;
[0058]当所述目标认证原语被加密时,分析所述目标认证原语的加密方法;
[0059]获取与所述加密方法对应的解密方法,并使用所述解密方法解密所述目标认证原语。
[0060]第四方面,本发明实施例提供一种分布式系统节点身份认证装置,应用于被认证节点,包括:
[0061]认证原语选取单元,用于当被认证节点和执行认证的节点之间需要进行身份认证时,被认证节点从原语库中选取一个目标认证原语,所述原语库为认证原语的集合,所述认证原语为表征被认证节点唯一性的语句,且满足被认证节点的预设语义规则;
[0062]认证原语发送单元,用于将所述目标认证原语发送给执行认证的节点,以使所述执行认证的节点根据所述目标认证原语对被认证节点进行认证。
[0063]结合第四方面,在第四方面第一种可能的实现方式中,所述认证原语选取单元,具体用于:当被认证节点和执行认证的节点之间需要进行身份认证时,从所述原语库中随机选取一个目标认证原语。
[0064]结合第四方面或第四方面第一种可能的实现方式,在第四方面第二种可能的实现方式中,所述装置,还包括认证原语加密单元,所述认证原语加密单元,用于在所述被认证节点将所述目标认证原语发送给执行认证的节点之前,将所述目标认证原语加密。
[0065]第五方面,本发明实施例还提供一种分布式系统节点身份认证装置,应用于执行认证的节点,包括:
[0066]认证原语接收单元,用于接收被认证节点发送的目标认证原语;
[0067]目标语义提取单元,用于提取所述目标认证原语的语义,作为目标语义;
[0068]验证单元,用于验证原语语义库中是否存在所述目标语义,如果所述原语语义库中存在所述目标语义,则被认证节点的身份认证通过,否则,被认证节点的身份认证失败;
[0069]其中,所述原语语义库预先根据原语库生成,所述原语库为认证原语的集合,所述认证原语为表征被认证节点唯一性的语句,且满足被认证节点的预设语义规则。
[0070]结合第五方面,在第五方面第一种可能的实现方式中,
[0071 ] 所述目标语义提取单元,具体用于:获取所述目标认证原语的哈希值,作为目标语义;
[0072]所述验证单元,具体用于:验证所述目标语义是否存在于布隆散列;
[0073]其中,所述布隆散列,为获取所述原语库的认证原语的哈希值后,根据所述认证原语的哈希值构建而成,所述原语语义库由所述布隆散列组成。
[0074]结合第五方面,在第五方面第二种可能的实现方式中,
[0075]所述目标语义提取单元具体用于:使用学习算法提取所述目标认证原语的特征,作为目标语义;
[0076]所述验证单元具体用于:
[0077]计算所述目标语义与所述原语语义库中特征的匹配度;
[0078]判断所述匹配度是否大于或等于预设阈值,如果所述匹配度大于或等于所述预设阈值,则所述原语语义库中存在所述目标语义,否则,所述原语语义库中不存在所述目标语义;
[0079]其中,所述原语语义库为所述原语库中认证原语的特征的集合,所述认证原语的特征通过对认证原语使用所述学习算法提取得到。
[0080]结合第五方面,在第五方面第三种可能的实现方式中,所述装置,还包括:
[0081 ] 预检验单元,用于检验所述目标认证原语是否符合被认证节点的预设语义规则;
[0082]提取使能单元,用于当所