一种基于身份认证的大数据安全框架系统的制作方法

本发明公开一种基于身份认证的大数据安全框架系统，涉及大数据安全技术领域。

背景技术：

信息时代大数据的环境之下，数据的安全极其重要。目前大部分公司开始为互联网用户提供大数据服务，包括信息的检索和共享，这些服务也会带来严重的安全问题。目前，大数据常用的是数字安全认证技术，系统大多数使用非对称和传统的公钥加密，提供相互认证，保证数据的安全性。然而，现有的认证方案通常是在集中式服务器上认证，认证负载大部分集中到认证服务器上，随着系统规模的增大，认证服务器的负载也随之加重，容易成为系统的瓶颈，大大降低系统的认证效率。同时，使用对称密钥对消息进行加密，攻击者可以在收集大量信息后，以离线方式通过计算和密码分析对口令进行攻击。

本发明公开一种基于身份认证的大数据安全框架系统，解决现有大数据安全认证中采用集中式服务器认证，导致系统负载过重的问题，同时可以防止使用对称密钥对消息进行加密，攻击者收集大量信息后，以离线方式通过计算和密码分析对口令进行攻击的问题。

技术实现要素：

本发明针对现有技术的问题，提供一种基于身份认证的大数据安全框架系统，具有通用性强、实施简便等特点，具有广阔的应用前景。

本发明提出的具体方案是：

一种基于身份认证的大数据安全框架系统，包括至少一个大数据服务器，

并利用大数据服务器分发智能卡给客户端：大数据服务器创建公共密钥，定义运算规则，

大数据服务器获取客户端的标识符和客户密码，利用公共密钥和标识符加密客户端需要认证的密钥，并利用运算规则加密标识符和客户密码，同时加密随机参数，将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端；

并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话：大数据服务器接受客户端的请求服务和客户端发送的验证参数，

根据接收到客户端消息的延迟时间判断是否建立会话，若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间，则大数据服务器中断与客户端会话，否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥，通过会话密钥获得信息认证码，大数据服务器发送信息认证码给客户端，若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间，则大数据服务器中断与客户端会话，否则客户端进行验证，验证通过则建立会话。

所述的系统中大数据服务器选择一个发生器和一个主密钥，利用发生器和主密钥创建公共密钥，选择没有冲突的单向散列函数作为运算规则。

所述的系统中智能卡中加密的标识符和客户密码，与客户端自己的标识符和客户密码通过运算规则运算后相符，则客户端接收智能卡。

所述的系统中大数据服务器选择一个发生器g∈rg和一个主密钥则创建公共密钥pbs＝x.g，选择没有冲突的单向散列函数作为运算规则：

h1＝{0,1}^*×{0,1}^*×g×g×g×g→{0,1}^l；

h2＝{0,1}^*×{0,1}^l→{0,1}^l；h3＝{0,1}^*→{0,1}^l，l表示大数据服务器分发密钥采用的安全参数。

所述的系统中大数据服务器获取客户端的标识符idu和客户密码pwu，其中随机数

大数据主服务器计算，客户端需要认证的密钥，kidu＝pbs·h3(idu)，加密标识符和客户密码获得同时产生一个随机数加密随机数s，将客户端需要认证的密钥kidu、加密后的标识符和客户密码bs、加密的随机参数s及运算规则置入智能卡发送给客户端，

智能卡中加密的标识符和客户密码bs，与客户端自己的标识符idu和客户密码pwu通过运算规则运算后相符，则客户端接收智能卡。

所述的系统中大数据服务器接受客户端的验证参数，包括t1,idu,ru,mu，其中随机数ru＝(xu,yu)∈rg，u1＝h3(t1)，mu＝ru+u1·kidu，同时匿名标识符t1是客户端发送请求的时间。

所述的系统中根据接收到客户端消息的延迟时间判断是否建立会话：

大数据服务器计算t2-t1≤δt1，t2表示大数据服务器接收到消息的时间，δt1表示消息传输的延迟时间，如果上式不成立，大数据服务器中断和客户端的会话，否则计算kidnbs＝pbsh3(idnbs)，idnbs是大数据服务器的身份标识，大数据服务器产生随机数rs＝(xs,ys)∈rg，计算s1＝h3(t3)，ms＝rs+s1kidnbs，

会话密钥sknbs＝h1(idu||idnbs||ms||mu||rs||ru)，

信息认证码macnbs＝(sknbs+xs)g，大数据服务器发送信息认证码macnbs，t3,ms,rs给客户端，t3是发送消息的时间，

客户端验证条件t4-t3≤δt2，t4表示客户端接收消息的时间，δt2表示消息传输的延迟时间，如果上式成立，客户端产生计算会话密钥sku＝h1(idu||idnbs||ms||mu||rs||ru)，消息验证码macu＝(sku+xu)g，客户端检查条件macu＝？macnbs，如果条件成立，大数据服务器通过会话密钥sk＝sku＝sknbs，认证客户端，建立会话。

一种基于身份认证的实现大数据安全的方法，利用至少一个大数据服务器分发智能卡给客户端：大数据服务器创建公共密钥，定义运算规则，

大数据服务器获取客户端的标识符和客户密码，利用公共密钥和标识符加密客户端需要认证的密钥，并利用运算规则加密标识符和客户密码，同时加密随机参数，将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端；

并利用至少一个大数据服务器与客户端通过智能卡进行相互认证从而建立会话：大数据服务器接受客户端的请求服务和客户端发送的验证参数，

根据接收到客户端消息的延迟时间判断是否建立会话，若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间，则大数据服务器中断与客户端会话，否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥，通过会话密钥获得信息认证码，大数据服务器发送信息认证码给客户端，若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间，则大数据服务器中断与客户端会话，否则客户端进行验证，验证通过则建立会话。

所述的方法中大数据服务器选择一个发生器和一个主密钥，利用发生器和主密钥创建公共密钥，选择没有冲突的单向散列函数作为运算规则。

所述的方法中智能卡中加密的标识符和客户密码，与客户端自己的标识符和客户密码通过运算规则运算后相符，则客户端接收智能卡。

本发明的有益之处是：

本发明提供一种基于身份认证的大数据安全框架系统，利用大数据服务器分发智能卡给客户端，通过大数据服务器创建公共密钥，定义运算规则，再利用公共密钥和标识符加密客户端需要认证的密钥，并利用运算规则加密标识符和客户密码，置入智能卡发送给客户端，同时利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话，建立会话前大数据服务器接受客户端的请求服务和客户端发送的验证参数，根据接收到客户端消息的延迟时间判断是否建立会话，如果建立会话则通过会话密钥获得信息认证码，发送信息认证码给客户端，再通过判断大数据服务器发送消息的时间与客户端接收消息的时间的差值与延迟时间的关系，决定大数据服务器与客户端是否进行会话，并再次客户端进行验证，验证通过才则建立会话；利用本发明系统解决现有大数据安全认证的采用集中式服务器认证框架，导致系统负载过重的问题，同时可以提高会话验证的稳定性，防止使用对称密钥对消息进行加密，攻击者收集大量信息后，以离线方式通过计算和密码分析对口令进行攻击。

附图说明

图1是本发明方法流程示意图。

图2本发明系统各部分交互示意图。

具体实施方式

本发明提供一种基于身份认证的大数据安全框架系统，包括至少一个大数据服务器，

并利用大数据服务器分发智能卡给客户端：大数据服务器创建公共密钥，定义运算规则，

大数据服务器获取客户端的标识符和客户密码，利用公共密钥和标识符加密客户端需要认证的密钥，并利用运算规则加密标识符和客户密码，同时加密随机参数，将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端；

并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话：大数据服务器接受客户端的请求服务和客户端发送的验证参数，

根据接收到客户端消息的延迟时间判断是否建立会话，若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间，则大数据服务器中断与客户端会话，否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥，通过会话密钥获得信息认证码，大数据服务器发送信息认证码给客户端，若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间，则大数据服务器中断与客户端会话，否则客户端进行验证，验证通过则建立会话。

同时提供与上述系统相应的一种基于身份认证的实现大数据安全的方法，利用至少一个大数据服务器分发智能卡给客户端：大数据服务器创建公共密钥，定义运算规则，

大数据服务器获取客户端的标识符和客户密码，利用公共密钥和标识符加密客户端需要认证的密钥，并利用运算规则加密标识符和客户密码，同时加密随机参数，将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端；

并利用至少一个大数据服务器与客户端通过智能卡进行相互认证从而建立会话：大数据服务器接受客户端的请求服务和客户端发送的验证参数，

根据接收到客户端消息的延迟时间判断是否建立会话，若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间，则大数据服务器中断与客户端会话，否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥，通过会话密钥获得信息认证码，大数据服务器发送信息认证码给客户端，若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间，则大数据服务器中断与客户端会话，否则客户端进行验证，验证通过则建立会话。

下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

利用本发明系统基于身份认证进行大数据安全管理，大数据服务器是密钥分发的中心，为客户端发放智能卡，大数据服务器与客户端进行相互认证，客户端获得智能卡，大数据服务器与客户端通过公共网络利用密钥建立会话，系统可建立服务器集群，选择一个服务器作为主服务，进行具体过程为：

大数据服务器任意选择一个发生器g∈rg,选择一个主密钥和一个公共密钥pbs＝x.g，选择没有冲突的单向散列函数：

h1＝{0,1}^*×{0,1}^*×g×g×g×g→{0,1}^l；

h2＝{0,1}^*×{0,1}^l→{0,1}^l；h3＝{0,1}^*→{0,1}^l，将以上参数<fq,e,g,l,g,pbs,h1,h2,h3>，作为整个系统的参数，其中，fq,e,l表示椭圆曲线密码学给定的参数，fq表示素数有限域，e表示素数有限域fq上的椭圆曲线，l表示大数据服务器分发密钥采用的安全参数，可根据实际情况确定；

大数据服务器与发送客户端智能卡，其中客户端获取标识符idu和密码pwu，同时产生随机数然后计算将参数<idu,pwu>，发送到大数据主服务器，在时间t的时候，从客户端接收消息，然后大数据主服务器计算，客户端需要认证的密钥，kidu＝pbs·h3(idu)，同时产生一个随机数大数据主服务器，将<bs,kids,h1,h2,h3,s>参数发送给客户端，参数s被大数据主服务器加密，客户端获取智能卡之后，将一个随机数u插入到卡中，然后智能卡里面的参数是<bs,kids,h1,h2,h3,s,u>，客户端验证自己的idu和pwu是否符合如果符合，客户端接收这个智能卡；

利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话：

客户端向附近的大数据服务器请求服务，客户端和服务器之间相互认证，产生会话密钥，其中客户端使用自己的身份标识符idu和密码pwu，访问附近的大数据服务器，同时计算检查bu＝？bs，如果相等，选择一个随机数ru＝(xu,yu)∈rg，其中(xu,yu)是属于集g的一个随机数实数，计算u1＝h3(t1)，mu＝ru+u1·kidu，同时匿名标识符客户端将参数<t1,idu,ru,mu>，发送给大数据服务器，t1是客户端发送请求的时间，

当接收到消息时，大数据服务器计算t2-t1≤δt1，t2表示大数据服务器接收到消息的时间，δt1表示消息传输的延迟时间，如果上式不成立，大数据服务器中断和客户端的会话，否则计算kidnbs＝pbsh3(idnbs)，idnbs是大数据服务器的身份标识，idnbs由大数据服务器唯一确定，大数据服务器产生随机数rs＝(xs,ys)∈rg，计算s1＝h3(t3)，ms＝rs+s1kidnbs，会话密钥sknbs＝h1(idu||idnbs||ms||mu||rs||ru)，信息认证码macnbs＝(sknbs+xs)g，大数据服务器发送消息<t3,ms,rs,macnbs>给客户端，t3是发送消息的时间，

接收到消息时，客户端验证条件t4-t3≤δt2，t4表示接收消息的时间，δt2表示消息传输的延迟时间。如果条件成立，客户端产生然后计算会话密钥sku＝h1(idu||idnbs||ms||mu||rs||ru)，消息验证码macu＝(sku+xu)g，客户端检查条件macu＝？macnbs，如果条件成立，大数据服务器通过会话密钥sk＝sku＝sknbs，认证客户端，建立会话，客户端可以通过公共网络，安全访问大数据服务器。

利用本发明方法基于身份认证进行大数据安全管理时，与上述过程相同，在服务器集群中，可选择一个服务器作为主服务，进行具体过程为：

大数据服务器任意选择一个发生器g∈rg,选择一个主密钥和一个公共密钥pbs＝x.g，选择没有冲突的单向散列函数：

h1＝{0,1}^*×{0,1}^*×g×g×g×g→{0,1}^l；

h2＝{0,1}^*×{0,1}^l→{0,1}^l；h3＝{0,1}^*→{0,1}^l，将以上参数<fq,e,g,l,g,pbs,h1,h2,h3>，作为整个系统的参数，其中，fq,e,l表示椭圆曲线密码学给定的参数，fq表示素数有限域，e表示素数有限域fq上的椭圆曲线，l表示大数据服务器分发密钥采用的安全参数，可根据实际情况确定；

大数据服务器与发送客户端智能卡，其中客户端获取标识符idu和密码pwu，同时产生随机数然后计算将参数<idu,pwu>，发送到大数据主服务器，在时间t的时候，从客户端接收消息，然后大数据主服务器计算，客户端需要认证的密钥，kidu＝pbs·h3(idu)，同时产生一个随机数大数据主服务器，将<bs,kids,h1,h2,h3,s>参数发送给客户端，参数s被大数据主服务器加密，客户端获取智能卡之后，将一个随机数u插入到卡中，然后智能卡里面的参数是<bs,kids,h1,h2,h3,s,u>，客户端验证自己的idu和pwu是否符合如果符合，客户端接收这个智能卡；

利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话：

客户端向附近的大数据服务器请求服务，客户端和服务器之间相互认证，产生会话密钥，其中客户端使用自己的身份标识符idu和密码pwu，访问附近的大数据服务器，同时计算检查bu＝？bs，如果相等，选择一个随机数ru＝(xu,yu)∈rg，其中(xu,yu)是属于集g的一个随机数实数，计算u1＝h3(t1)，mu＝ru+u1·kidu，同时匿名标识符客户端将参数<t1,idu,ru,mu>，发送给大数据服务器，t1是客户端发送请求的时间，

当接收到消息时，大数据服务器计算t2-t1≤δt1，t2表示大数据服务器接收到消息的时间，δt1表示消息传输的延迟时间，如果上式不成立，大数据服务器中断和客户端的会话，否则计算kidnbs＝pbsh3(idnbs)，idnbs是大数据服务器的身份标识，idnbs由大数据服务器唯一确定，大数据服务器产生随机数rs＝(xs,ys)∈rg，计算s1＝h3(t3)，ms＝rs+s1kidnbs，会话密钥sknbs＝h1(idu||idnbs||ms||mu||rs||ru)，信息认证码macnbs＝(sknbs+xs)g，大数据服务器发送消息<t3,ms,rs,macnbs>给客户端，t3是发送消息的时间，

接收到消息时，客户端验证条件t4-t3≤δt2，t4表示接收消息的时间，δt2表示消息传输的延迟时间。如果条件成立，客户端产生然后计算会话密钥sku＝h1(idu||idnbs||ms||mu||rs||ru)，消息验证码macu＝(sku+xu)g，客户端检查条件macu＝？macnbs，如果条件成立，大数据服务器通过会话密钥sk＝sku＝sknbs，认证客户端，建立会话，客户端可以通过公共网络，安全访问大数据服务器。

以上所述实施例仅是为充分说明本发明而所举的较佳的实施例，本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换，均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。