一种安全认证方法、装置、电子设备、芯片及介质与流程

本公开涉及大数据云边协同，尤其涉及一种安全认证方法、装置、电子设备、芯片及介质。

背景技术：

1、在云边协同场景海量大数据集群场景下，大规模云边分散式集群分布情况下，存在着跨多边缘集群间认证隔离、跨集群间kerberos认证复杂时间长、集群间信息通信延迟大且不稳定、集群间用户信息管理不安全等一系列问题。

技术实现思路

1、本公开提供一种安全认证方法、装置、电子设备、芯片及介质，以解决相关技术中不能在海量大数据集群场景下进行跨多边缘集群间认证等问题。通过云端信息中心对各个边缘分别进行用户申请的定向授权以及采用coda协议和zk-snark递归证明进行身份的验证，可进行无障碍的跨集群用户验证和业务操作。

2、本公开的第一方面实施例提出了一种安全认证方法，该方法由云端信息中心执行，云端信息中心部署于中心服务器上，云端信息中心包括信息管控模块、金库审批模块、coda区块链协议模块、coda区块链数据库，该方法包括：信息管控模块获取用户的权限申请信息，其中用户对应第一边缘集群，权限申请信息用于申请用户对第二边缘集群进行操作的用户权限，操作包括创建、读取、删除中的任一项，每个边缘集群包括一个或多个kerberos服务器；信息管控模块将权限申请信息发送至金库审批模块；金库审批模块对权限申请信息进行审批，若审批通过，向信息管控模块发送审批通过消息；信息管控模块向coda区块链协议模块发送密钥申请；coda区块链协议模块通过zk-snark递归压缩算法，生成递归证明，递归证明用于获取用户对第二边缘集群进行操作的密钥，coda区块链数据库存储密钥以及用户的信息。

3、在本公开的一些实施例中，权限申请信息包括用户期望申请的第二边缘集群的集群标识、用户期望申请的业务标识。

4、在本公开的一些实施例中，金库审批模块对权限申请信息进行审批包括：确定集群标识和业务标识之间是否存在预设对应关系；若存在，则确认审批通过。

5、在本公开的一些实施例中，信息管控模块向coda区块链协议模块发送密钥申请之前，该方法还包括：信息管控模块确定第一边缘集群所属的realm域内的第三边缘集群；对第三边缘集群中的kerberos服务器同时进行api调用操作，对第一边缘集群和第三边缘集群共同创建/读取/删除访问权限和用户验证信息；信息管控模块将用户验证信息、第二边缘集群的客户端信息、第二边缘集群的服务端信息和操作信息通过coda区块链协议模块保存至coda区块链数据库。

6、在本公开的一些实施例中，信息管控模块向coda区块链协议模块发送密钥申请之前，该方法还包括：信息管控模块向第一边缘集群中的kerberos服务器发起用户身份证明请求；第一边缘集群中的kerberos服务器对用户的身份进行认证，当用户的用户信息通过认证时，第一边缘集群中的kerberos服务器向信息管控模块返回用户认证通过结果；信息管控模块对用户是否对第二边缘集群具有访问权限进行认证，当认证通过时，向coda区块链协议模块发送密钥申请。

7、在本公开的一些实施例中，coda区块链协议模块通过zk-snark递归压缩算法，生成递归证明之后，该方法还包括：coda区块链协议模块将递归证明发送给信息管控模块；信息管控模块将递归证明发送给第一边缘集群的kerberos服务器；响应于递归证明，第一边缘集群的kerberos服务器生成并向信息管控模块发送票据和验证码，票据和验证码针对第一边缘集群有效；信息管控模块存储用户标识、票据和验证码、第一边缘集群的标识；第一边缘集群的kerberos服务器确定第二边缘集群的标识是否与第三边缘集群的标识匹配，以确定第二边缘集群是否与第一边缘集群属于同一realm域；若是，信息管控模块将票据和验证码作为对第二边缘集群进行操作的密钥发送给用户。

8、在本公开的一些实施例中，该方法还包括：当信息管控模块检测到用户的认证操作满足预设条件，对用户的用户权限进行冻结，删除用户的用户验证信息；其中，预设条件包括：用户的身份认证失败次数超过预设次数，或者，用户发起权限申请所使用的主机不是第一边缘集群的边缘主机，或者，用户使用的用户名不是被授权的用户名。

9、本公开的第二方面实施例提出了一种安全认证装置，该装置包括：信息管控模块，用于获取用户的权限申请信息，其中用户对应第一边缘集群，权限申请信息用于申请用户对第二边缘集群进行操作的用户权限，操作包括创建、读取、删除中的任一项，每个边缘集群包括一个或多个kerberos服务器；信息管控模块，用于将权限申请信息发送至金库审批模块；金库审批模块，用于对权限申请信息进行审批，若审批通过，向信息管控模块发送审批通过消息；信息管控模块，用于向coda区块链协议模块发送密钥申请；coda区块链协议模块，用于通过zk-snark递归压缩算法，生成递归证明，递归证明用于获取用户对第二边缘集群进行操作的密钥，coda区块链数据库存储密钥以及用户的信息。

10、本公开的第三方面实施例提出了一种电子设备，包括：一个或多个处理器和与一个或多个处理器通信连接的存储装置，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器执行本公开第一方面实施例中描述的方法。

11、本公开的第四方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，计算机指令用于使计算机执行本公开第一方面实施例中描述的方法。

12、本公开的第五方面实施例提出了一种芯片，该芯片包括一个或多个接口电路和一个或多个处理器；接口电路用于从电子设备的存储器接收信号，并向处理器发送信号，信号包括存储器中存储的计算机指令，当处理器执行计算机指令时，使得电子设备执行本公开第一方面实施例中描述的方法。

13、综上，根据本公开提出的安全认证方法，根据信息管控模块获取用户的权限申请信息，其中用户对应第一边缘集群，权限申请信息用于申请用户对第二边缘集群进行操作的用户权限，操作包括创建、读取、删除中的任一项，每个边缘集群包括一个或多个kerberos服务器；信息管控模块将权限申请信息发送至金库审批模块；金库审批模块对权限申请信息进行审批，若审批通过，向信息管控模块发送审批通过消息；信息管控模块向coda区块链协议模块发送密钥申请；coda区块链协议模块通过zk-snark递归压缩算法，生成递归证明，递归证明用于获取用户对第二边缘集群进行操作的密钥，coda区块链数据库存储密钥以及用户的信息。通过对用户的权限申请信息进行多边缘验证授权，以进行无障碍的跨集群用户验证和业务操作，既可以应用于海量大数据集群场景下，又可以节省不同集群间进行安全认证的时间。

14、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

技术特征：

1.一种安全认证方法，其特征在于，所述方法由云端信息中心执行，所述云端信息中心部署于中心服务器上，所述云端信息中心包括信息管控模块、金库审批模块、coda区块链协议模块、coda区块链数据库，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述权限申请信息包括所述用户期望申请的所述第二边缘集群的集群标识、所述用户期望申请的业务标识。

3.根据权利要求2所述的方法，其特征在于，所述金库审批模块对所述权限申请信息进行审批包括：

4.根据权利要求3所述的方法，其特征在于，所述信息管控模块向所述coda区块链协议模块发送密钥申请之前，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，所述信息管控模块向所述coda区块链协议模块发送密钥申请之前，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述coda区块链协议模块通过zk-snark递归压缩算法，生成递归证明之后，所述方法还包括：

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

8.一种安全认证装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括：

10.一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，所述计算机指令用于使所述计算机执行根据权利要求1-7中任一项所述的方法。

技术总结
本公开提供一种安全认证方法、装置、电子设备、芯片及介质，涉及IT应用领域，由云端信息中心执行，该方法包括：信息管控模块获取用户的权限申请信息；信息管控模块将权限申请信息发送至金库审批模块；金库审批模块对权限申请信息进行审批，若审批通过，向信息管控模块发送审批通过消息；信息管控模块向Coda区块链协议模块发送密钥申请；Coda区块链协议模块通过zk‑SNARK递归压缩算法，生成递归证明。通过对各个边缘分别进行用户申请的定向授权以及采用Coda协议和zk‑SNARK递归证明进行身份的验证，可进行无障碍的跨集群用户验证和业务操作。

技术研发人员：孙遒
受保护的技术使用者：中移（苏州）软件技术有限公司
技术研发日：
技术公布日：2024/1/22