述目标认证原语符合所述预设语义规则时,使能所述目标语义提取单元。
[0083]结合第五方面或第五方面第一种至第三种可能的实现方式其中任意一种,在第五方面第四种可能的实现方式中,所述装置,还包括认证原语解密单元,所述认证原语解密单元包括:
[0084]加密检验模块,用于在接收所述目标认证原语之后,提取所述目标认证原语的语义之前,检验所述目标认证原语是否被加密;
[0085]加密方法分析模块,用于当所述目标认证原语被加密时,分析所述目标认证原语的加密方法;
[0086]解密模块,用于获取与所述加密方法对应的解密方法,并使用所述解密方法解密所述目标认证原语。
[0087]第六方面,本发明实施例提供一种分布式系统节点身份认证装置,包括:
[0088]原语库建立单元,用于建立原语库,所述原语库为认证原语的集合,所述认证原语为表征被认证节点唯一性的语句,且满足被认证节点的预设语义规则;
[0089]原语语义库生成单元,用于根据所述原语库生成原语语义库;
[0090]认证原语选取单元,应用于被认证节点,用于当被认证节点和执行认证的节点之间需要进行身份认证时,从原语库中选取一个目标认证原语;
[0091]认证原语发送单元,应用于被认证节点,用于将所述目标认证原语发送给执行认证的节点;
[0092]认证原语接收单元,应用于执行认证的节点,用于接收被认证节点发送的目标认证原语;
[0093]目标语义提取单元,应用于执行认证的节点,用于提取所述目标认证原语的语义,作为目标语义;
[0094]验证单元,应用于执行认证的节点,用于验证原语语义库中是否存在所述目标语义,如果所述原语语义库中存在所述目标语义,则被认证节点的身份认证通过,否则,被认证节点的身份认证失败。
[0095]结合第六方面,在第六方面第一种可能的实现方式中,所述认证原语选取单元,具体用于:当被认证节点和执行认证的节点之间需要进行身份认证时,从所述原语库中随机选取一个目标认证原语。
[0096]结合第六方面,在第六方面第二种可能的实现方式中,
[0097]所述原语语义库生成单元,具体用于获取原语库的认证原语的哈希值,根据所述认证原语的哈希值构建布隆散列,并根据所述布隆散列组成原语语义库;
[0098]所述目标语义提取单元具体用于:获取所述目标认证原语的哈希值,作为目标语义;
[0099]所述验证单元具体用于:验证所述目标语义是否存在于所述布隆散列。
[0100]结合第六方面,在第六方面第三种可能的实现方式中,
[0101]所述原语语义库生成单元,具体用于使用学习算法提取原语库中认证原语的特征,以所述特征的集合作为原语语义库;
[0102]所述目标语义提取单元具体用于:使用所述学习算法提取所述目标认证原语的特征,作为目标语义;
[0103]所述验证单元具体用于:
[0104]计算所述目标语义与所述原语语义库中特征的匹配度;
[0105]判断所述匹配度是否大于或等于预设阈值,如果所述匹配度大于或等于所述预设阈值,则所述原语语义库中存在所述目标语义,否则,所述原语语义库中不存在所述目标语义。
[0106]结合第六方面,在第六方面第四种可能的实现方式中,所述装置,还包括:
[0107]预检验单元,应用于执行认证的节点,用于检验所述目标认证原语是否符合被认证节点的预设语义规则;
[0108]提取使能单元,应用于执行认证的节点,用于当所述目标认证原语符合所述预设语义规则时,使能所述目标语义提取单元。
[0109]结合第六方面或第六方面第一种至第四种可能的实现方式其中任意一种,在第六方面第五种可能的实现方式中,所述装置,还包括认证原语加密单元,所述认证原语加密单元,应用于被认证节点,用于在将所述目标认证原语发送给执行认证的节点之前,将所述目标认证原语加密。
[0110]结合第六方面第五种可能的实现方式,在第六方面第六种可能的实现方式中,所述装置,还包括认证原语解密单元,所述认证原语解密单元,应用于执行认证的节点,包括:
[0111]加密检验模块,用于在接收所述目标认证原语之后,提取所述目标认证原语的语义之前,检验所述目标认证原语是否被加密;
[0112]加密方法分析模块,用于当所述目标认证原语被加密时,分析所述目标认证原语的加密方法;
[0113]解密模块,用于获取与所述加密方法对应的解密方法,并使用所述解密方法解密所述目标认证原语。
[0114]本发明实施例提供的技术方案,以认证原语为认证凭证,由于认证原语只是被认证节点的描述语句,因此认证原语的构建和原语库的建立都简单易行;在被认证节点和执行认证的节点之间需要进行身份认证时,被认证节点从原语库选取目标认证原语发送给执行认证的节点进行身份认证,原语库中可以存在众多的认证原语,这样被认证节点每次发送的目标认证原语都是不唯一的,从而有效防止目标认证原语被破解,也不需耗费时间和资源来维护目标认证原语。而且被认证节点可以只在需要进行身份认证的时候选取目标认证原语并发送,且每次的目标认证原语不唯一,被认证节点不需保存认证状态。执行认证的节点接收到被认证节点发送的目标认证原语后,以生成原语语义库时提取原语库认证原语的语义的方法,提取目标认证原语的语义,作为目标语义,然后验证所述目标语义是否存在与原语语义库中。由于认证原语及目标认证原语为简单的字符语句,使用已有的语义提取方法提取语义,以及验证目标语义与原语语义库中的语义是否匹配,过程皆简单易行,资源耗费少,且整个认证过程执行认证的节点也不需保存认证状态,使得被认证节点和执行认证的节点之间能够实现按需认证。
【附图说明】
[0115]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0116]图1为本发明实施例提供的一种应用于被认证节点的分布式系统节点身份认证方法的流程示意图;
[0117]图2为本发明实施例提供的一种应用于执行认证的节点的分布式系统节点身份认证方法的流程示意图;
[0118]图3为本发明实施例提供的一种分布式系统节点身份认证方法的流程示意图;
[0119]图4为本发明实施例提供的一种应用于被认证节点的分布式系统节点身份认证装置的框图;
[0120]图5为本发明实施例提供的一种应用于执行认证的节点的分布式系统节点身份认证装置的框图;
[0121]图6为本发明实施例提供的一种分布式系统节点身份认证装置的框图。
【具体实施方式】
[0122]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0123]参见图1,为本发明实施例提供的一种分布式系统节点身份认证方法的流程示意图,该方法应用于被认证节点,如图1所示,该方法包括如下步骤:
[0124]步骤SlOl,当被认证节点和执行认证的节点之间需要进行身份认证时,被认证节点从原语库中选取一个目标认证原语,所述原语库为认证原语的集合,所述认证原语为表征被认证节点唯一性的语句,且满足被认证节点的预设语义规则;
[0125]步骤S102,将所述目标认证原语发送给执行认证的节点,以使所述执行认证的节点根据所述目标认证原语对被认证节点进行认证。
[0126]在一种应用场景中,被认证节点在数据访问发起的同时发起身份认证,也就是被认证节点在数据访问发起的同时需要进行身份认证,被认证节点在发送数据的同时需要发送身份认证信息,在本发明中,所述身份认证信息即目标认证原语。在另一种应用场景中,被认证节点先向执行认证的节点发送数据访问请求,执行认证的节点返回身份认证请求消息,被认证节点收到所述身份认证请求消息后,向执行认证的节点发送身份认证信息,通过身份认证后再向执行认证的节点发送数据,在这种情况下,被认证节点收到身份认证请求消息即为被认证节点和执行认证的节点之间需要进行身份认证。
[0127]所述原语库预先建立,其为认证原语的集合。认证原语为表征被认证节点唯一性的语句,例如多种描述被认证节点唯一性特征的语句,由于无规则的语句难以提取语义,因此认证原语需符合被认证节点的预设语义规则。认证原语的预设语义规则可以为以下几类:
[0128](I)替换类语义规则:根据预设的字符替换表,将语句中的字符用字符替换表中与该字符对应的其他字符替换,例如:0替换为0,I替换为1,b替换为6,g替换为9等,S替换为$等。
[0129](2)模式类语义规则:认证原语按预设的模式生成,例如在认证原语的偶数字符的后面,加入固定长度的随机字符组合。
[0130](3)标点类语义规则:在认证原语的固定位置加入固定的标点,例如每个认证原语都以问号结尾。
[0131]预设语义规则并不仅限于上述三种,上述三种也可以两两组合或者三者组合使用。
[0132]按照预设语义规则构建认证原语,并将认证原语存储在原语库中,每个认证原语在原语库中对应一个索引,每个被认证节点与其原语库一一对应。原语库中的认证原语至少包含2条,以使认证原语的选取不唯一。原语库可以保存于被认证节点处,也可以与被认证节点分离,原语库与被认证节点分离时,被认证节点通过网络访问原语库。所述原语库可以加密保存或添加访问控制机制,以防止认证原语泄漏。
[0133]当被认证节点和执行认证的节点之间需要进行身份认证时,被认证节点从原语库中选取一个目标认证原语,选取方式可以为随机选取,也可以按照循环性规律选取。所述随机选取,可以为被认证节点先随机生成一个索引值(所述索引值在原语库的索引值范围内),然后选取原语库中与所述索引值对应的认证原语。所述按照循环性规律选取,可以为被认证节点按照原语库的索引值排列顺序,依次选取索引值对应的认证原语,当多次进行身份认证后,被认证节点选取的认证原语对应的索引值已达到原语库索引值排列的尾端时,在下一次身份认证的时候,被认证节点重新从原语库的索引值排列的第一个索引值开始选取。选取目标认证原语后,被认证节点将所述目标认证原语发送给执行认证的节点,以使所述执行认证的节点根据所述目标认证原语对被认证节点进行认证。
[0134]另外,为进一步保证被选中的目标认证原语的安全,防止目标认证原语被破坏,在被认证节点将目标认证原语发送给执行认证的节点之前,还可以将所述目标认证原语加密,相应地,执行认证的节点在收到所述目标认证原语后,对所述目标认证原语进行解密。
[0135]本实施例所提供的技术方案,以认证原语为认证凭证,由于认证原语只是被认证节点的描述语句,因此认证原语的构建和原语库的建立都简单易行;在被认证节点和执行认证的节点之间需要进行身份认证时,被认证节点从原语库选取目标认证原语发送给执行认证的节点进行身份认证,原语库中可以存在众多的认证原语,这样被认证节点每次发送的目标认证原语都是不唯一的,从而有效防止目标认证原语被破解,不需像用户/ 口令身份认证方法那样定期修改认证凭证,也不需耗费时间和资源来维护认证凭证。被认证节点使用随机选取方式来选取目标认证原语时,由于每次发送的目标认证原语都不可预料,更有利于防止目标认证原语被破解以及减少认证凭证维护耗费。而且本实施例所提供的技术方案,被认证节点可以只在需要进行身份认证的时候选取目标认证原语并发送,且每次的目标认证原语不唯一,被认证节点不需保存认证状态,从而能够实现按需认证,或者说“一次一认证”。
[0136]参见图2,为本发明实施例提供的一种分布式系统节点身份认证方法的流程示意图,该方法应用于执行认证的节点,如图2所示,该方法包括如下步骤:
[0137]步骤S201,接收被认证节点发送的目标认证原语;
[0138]步骤S202,提取所述目标认证原语的语义,作为目标语义;
[0139]步骤S203,验证原语语义库中是否存在所述目标语义,如果所述原语语义库中存在所述目标语义,则被认证节点的身份认证通过,否则,被认证节点的身份认证失败。
[0140]其中,所述原语语义库预先根据原语库生成。
[0141]原语语义库为原语库中认证原语的语义的集合。提取原语库中每个认证原语的语义,存储于原语语义库中。所述原语语义库可以位于执行认证的节点,也可以与执行认证的节点分离,所述原语语义库与执行认证的节点分离时,执行认证的节点通过网络访问所述原语语义库。如果被认证节点和执行认证的节点是一一对应的,也就是说一个执行认证的节点只对一个被认证的节点进行认证,则该执行认证的节点访问的原语语义库中,只存储该被认证节点的原语库中认证原语的语义。如果执行认证的节点会对至少两个被认证节点进行认证,则该执行认证的节点访问的原语语义库中,存储对应的被认证节点的原语库中认证原语的语义。在一种实施方式中,所有执行认证的节点可以共用一个原语语义库,也就是提取所有原语库中认证原语的语义,存储在一个原语语义库中。
[0142]原语为字符组成的语句,其本质也为数据,原语语义即语句的含义,亦即数据的逻辑表示或者特征。提取原语的语义,即将原语按预设的方式进行逻辑组织,或者按预设的方式提取特征。
[0143]在一种实施方式中,根据原语库生成原语语义库,包括:获取原语库的认证原语的哈希值,根据所述认证原语的哈希值构建布隆散列,以所述布隆散列为认证原语的语义的集合,存储于原语语义库中。这种实施方式中,根据原语库生成原语语义库是不可逆的过程,因此可以更好地保护认证原语的安全,攻击者将无法通过原语语义库来得到认证原语,也正因为这样,原语语义库可以公开。使用哈希函数作用于原语库的认证原语,便能获取原语