本发明专利技术公开一种分布式安全认证方法,包括步骤:(1)客户端以IPv6地址作为源地址,访问认证服务器;(2)认证服务器在验证客户端合法性后,通过加密算法将客户端的IPv6地址、分配的数据服务器IPv6前缀和密钥进行加密计算,得出cookie,将该cookie附加到数据服务器IPv6前缀中返回给客户端;(3)客户端访问带有cookie的IPv6地址的数据服务器,数据服务器在其防火墙中将客户端发来的请求数据包的源地址、目的地址取出;(4)使用步骤(2)的加密算法和密钥,对步骤(3)的数据包的cookie进行校验,如果校验成功则执行步骤(6),否则执行步骤(5);(5)丢弃该数据包,跳转步骤(7);(6)使用DNAT技术将该数据包的目的地址替换为数据服务器真实的IPv6地址;(7)结束。
【技术实现步骤摘要】
本专利技术属于无线网络通信的
,具体地涉及一种分布式安全认证方法。
技术介绍
IPv6是下一代互联网协议,随着IPv4地址的枯竭,全球互联网会逐渐转向使用IPv6协议,并且很长时间内IPv6将与IPv4并存。这种新协议提供了128位长的巨大地址空间,可以很容易为终端设备提供64位长前缀的地址空间。互联网公司或运营商向其所属用户提供数据服务,会在不同地点部署多台服务器以对其服务实行负载均衡,此处称之为数据服务器。为了保证访问数据服务器的客户端是经过授权的,需要在数据服务器、认证服务器、客户端三者之间实现分布式认证。具体地,通常有如下两种实现方式。(1)应用层协议内认证方式:客户端向调度服务器(调度服务器:在分布式服务系统架构中,负责分发客户端请求的调度中心,其本身不提供数据服务。客户端在请求数据服务之前先查询该服务器,该调度服务器将分配的数据服务器的地址(IP或域名)返回给客户端。客户端再访问数据服务器获取后续服务。)获取数据服务器的IP,此时无需认证;得到IP后客户端直接连接数据服务器,并在数据传输协议中(例如HTTP POST请求报文中)携带账号、密码;数据服务器再利用该账号、密码,通过集中认证协议(例如RADIUS)验证该账号的合法性及访问权限,以决定是否对该客户端提供服务。(2)IP白名单方式:客户端连接认证服务器,发送其账号、密码;认证服务器验证通过后,向客户端返回被分配的数据服务器的IP地址,此时认证服务器亦充当调度服务器;同时向数据服务器发送许可信令,允许客户端的IP访问;数据服务器收到后将该IP加入其访问控制白名单;此时客户端即可访问数据服务器。上述方式1存在的主要问题是:对数据服务器、客户端协议不透明,必须在数据协议内支持认证,应用场景受限,一些传输层、网络层的数据服务协议(例如NAT64)无法支持认证。方式2虽对数据协议透明(透明:形容词。表示网络通信中无须通信双方的软件无须针对具体应用场景做改动、无须关心底层协议处理的优势。在本文中表示,客户端软件、服务器软件无须针对访问认证做特定修改。),但其每次认证后都需认证服务器向处于不同位置的数据服务器发送IP许可信令,因此其可靠性、生效时间非常依赖认证服务器和数据服务器之间链路的稳定性,一旦中间的路由或线路出现故障,服务就会立即不能进行。同时需要开发复杂的IP许可信令协议,部署、维护成本较高,而可靠性亦较低。另外,方式1对每次用户的数据访问都要向认证服务器进行验证,认证服务器的压力极大。方式2认证服务器需要频繁与处于各地的数据服务器通信,数据服务器需要在提供数据服务的同时频繁接收处理认证服务器发来的认证许可信令。因此这两种方式的系统承载能力都存在瓶颈。由于上述种种不便,实际实施中经常不对数据服务启用认证,而仅将数据资源进行“隐蔽”,如将视频文件置于复杂的URL路径之下,以达到“相对安全”的效果。实际上这些未启用认证的资源被非法利用的现象时有发生,例如视频文件的非法盗链、收费视频文件被未付费用户非法下载或观看、运营商为其用户提供的NAT64服务被其他未经许可用户滥用等。IPv6是未来互联网的发展趋势,互联网公司、运营商会逐渐将自身的服务过渡到IPv6。若仍然使用传统的协议内认证或IP白名单方式进行分布式访问认证,则仍会存在上述缺点。
技术实现思路
本专利技术要解决的技术解决问题是:克服现有技术的不足,提供一种分布式安全认证方法,其能够在大大简化分布式认证设计、增强稳定性的同时,提供更高的安全性。本专利技术的技术解决方案是:这种分布式安全认证方法,包括以下步骤:(1)客户端以自身全球唯一的IPv6地址作为源地址,访问认证服务器;(2)认证服务器在验证客户端合法性后,通过加密算法将客户端的IPv6地址、分配的数据服务器IPv6前缀和密钥进行加密计算,得出cookie,将该cookie附加到数据服务器IPv6前缀中返回给客户端;(3)客户端访问带有cookie的IPv6地址的数据服务器,数据服务器在其防火墙中将客户端发来的请求数据包的源地址、目的地址取出;(4)使用步骤(2)的加密算法和密钥,对步骤(3)的数据包的cookie进行校验,如果校验成功则执行步骤(6),否则执行步骤(5);(5)丢弃该数据包,跳转步骤(7);(6)使用DNAT技术将该数据包的目的地址替换为数据服务器真实的IPv6地址;(7)结束。IPv6地址长度为128位,巨大的地址空间使其很容易为单台服务器分配/64前缀的地址空间,该IPv6前缀下的所有地址都属于这台服务器,并且全球唯一。而一般情况下一台服务器只需要1个地址,因此余下的64位后缀都可以用于存储认证信息,该信息被称作“cookie”,即使对于某些需要32位后缀的特殊应用(例如NAT64),仍有32位可用来存储cookie。该cookie利用源地址、服务器地址前缀通过一定加密算法生成,每个源IPv6地址都对应不同的cookie,即不同的源IPv6地址与不同的目的IPv6地址对应。访问该目的地址的数据包发送至数据服务器时,数据服务器之上的防火墙会校验该cookie的合法性,若校验不合法则拒绝为该客户端提供服务。由于IPv6无须使用NAT转换,每台终端设备都具有不同的全球唯一地址,因而每个用户都需要向认证服务器获取包含其专用cookie的目的地址,由于cookie位数至少为32位,用户难以伪造这个地址,因此未授权的用户不能非法访问数据服务器提供的服务。利用IPv6地址cookie可以在大大简化分布式认证的设计、增强稳定性的同时,提供更高的安全性。附图说明图1示出了根据本专利技术的分布式安全认证方法的流程图。具体实施方式如图1所示,这种分布式安全认证方法,包括以下步骤:(1)客户端以自身全球唯一的IPv6地址作为源地址,访问认证服务器;(2)认证服务器在验证客户端合法性后,通过加密算法将客户端的IPv6地址、分配的数据服务器IPv6前缀和密钥进行加密计算,得出cookie,将该cookie附加到数据服务器IPv6前缀中返回给客户端;(3)客户端访问带有cookie的IPv6地址的数据服务器,数据服务器在其防火墙中将客户端发来的请求数据包的源地址、目的地址取出;(4)使用步骤(2)的加密算法和密钥,对步骤(3)的数据包的cookie进行校本文档来自技高网...
【技术保护点】
一种分布式安全认证方法,其特征在于:包括以下步骤:(1)客户端以自身全球唯一的IPv6地址作为源地址,访问认证服务器;(2)认证服务器在验证客户端合法性后,通过加密算法将客户端的IPv6地址、分配的数据服务器IPv6前缀和密钥进行加密计算,得出cookie,将该cookie附加到数据服务器IPv6前缀中返回给客户端;(3)客户端访问带有cookie的IPv6地址的数据服务器,数据服务器在其防火墙中将客户端发来的请求数据包的源地址、目的地址取出;(4)使用步骤(2)的加密算法和密钥,对步骤(3)的数据包的cookie进行校验,如果校验成功则执行步骤(6),否则执行步骤(5);(5)丢弃该数据包,跳转步骤(7);(6)使用DNAT技术将该数据包的目的地址替换为数据服务器真实的IPv6地址;(7)结束。
【技术特征摘要】
1.一种分布式安全认证方法,其特征在于:包括以下步骤:
(1)客户端以自身全球唯一的IPv6地址作为源地址,访问认证服务
器;
(2)认证服务器在验证客户端合法性后,通过加密算法将客户端的
IPv6地址、分配的数据服务器IPv6前缀和密钥进行加密计算,
得出cookie,将该cookie附加到数据服务器IPv6前缀中返回给
客户端;
(3)客户端访问带有cookie的IPv6地址的数据服务器,数据服务器
在其防火墙中将客户端发来的请求数据包的源地址、目的地址取
出;
(4)使用步骤(2)的加密算法和密钥,对步骤(3)的数据包的cookie
进行校验,如果校验成功则执行步骤(6),否则执行步骤(5);
(5)丢弃该数据包,跳转步骤(7);
(6)...
【专利技术属性】
技术研发人员:刘剑英,
申请(专利权)人:北京极科极客科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。