一种网络安全认证方法技术

本发明专利技术提供了一种网络安全认证方法，包括以下步骤：S1、管理员自web客户端配置出基于Kerberos认证服务的KDC服务器；S2、通过KDC服务器对资源与用户Id、角色、Token Id、Token状态进行关联，以构建出关联信息；S3、用户自web客户端获取令牌值及令牌信息，将令牌信息保存至持久化节点中，并将令牌与资源绑定；S4、根据令牌信息与步骤S2中的关联信息确定用户对资源的访问权限。用户可通过web浏览器对KDC服务器进行配置操作，实现了一键化部署数据安全服务，并实现了对KDC服务器的运行状态的有效监控，并实现了与大数据及云计算的深度整合，为用户的资源提供了安全级别更高的保护机制。

【技术实现步骤摘要】

本专利技术涉及计算机软件安全认证
，尤其涉及一种网络安全认证方法。
技术介绍
Apache Kerby是一套开源的java开发的安全认证框架，它作为ApacheDirectory的子项目出现的，通过kerby开发者可以自己开发Kerberos认证服务器KDC Server，而且它还支持多种安全协议，如X509，oauth2都有很好的支持，它可以为Hadoop大数据，云计算环境搭建出色的安全盾牌。基于Apache Kerby的安全认证框架，可通过web配置，独立完成KDC服务器的环境搭建，提供Kerberos认证服务，并无需第三方服务，并且提供auto-failover功能，无单点故障。支持多种安全认证协议，如x509、oauth2等，能在Http、Tcp、Udp多种方式下提供安全服务。同时，也能提供Token(令牌)票据服务，并且票据有失效时间，最大程序的保护用户资源安全。在现有技术中，网络安全认证主要包括以下步骤：(1)、通过Kerberos命令方式搭建起KDC服务器，确保Client与KDC服务器可以正常通信。(2)、Client用户将之前获得TGT和待请求的服务信息(服务名等)发送给KDC服务器。KDC服务器中的Ticket Granting Service(票据授予服务)将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别。然后KDC服务器将Session Key和用户名、用户地址(IP)、服务名、有效期及时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service。不过Kerberos协议并没有直接将Ticket发送给Service，而是通过Client转发给Service。(3)、此时KDC服务器将刚才的Ticket转发给Client。由于这个Ticket是要给Service的，不能让Client看到，所以KDC服务器用协议开始前KDC服务器与Service之间的密钥将Ticket加密后再发送给Client。同时为了让Client和Service之间共享那个秘密(KDC在第一步为它们创建的Session Key)，KDC服务器用Client与其之间的密钥将SessionKey加密随加密的Ticket一起返回给Client用户。(4)、为了完成Ticket的传递，Client将刚才收到的Ticket转发到Service。由于Client用户不知道KDC服务器与Service之间的密钥，所以它无法算改Ticket中的信息。同时Client将收到的Session Key解密出来，然后将自己的用户名，用户地址(IP)打包成Authenticator用Session Key加密也发送给Service)。(5)、Service收到Ticket后利用它与KDC服务器之间的密钥将Ticket中的信息解密出来，从而获得Session Key和用户名、用户地址(IP)、服务名、有效期。然后再用SessionKey将Authenticator解密从而获得用户名、用户地址(IP)将其与之前Ticket中解密出来的用户名，用户地址(IP)做比较从而验证Client用户的身份。(6)、如果Service有返回结果，将其返回给Client用户。由于Kerberos的安装配置是极其复杂的，而且要配置的参数非常多，一般用户很难完全掌握，配置环境也是在Linux环境shell里，操作也不是很方便明了，并且没有监控方案。因此，也存在统一管理的用户界面的问题，导致用户无法真正掌握KDC服务器内部的运行状态，所有的操作需要用户通过命令行方式进行操作，用户体验较差。此外，现有技术对Hadoop或者云计算的集成度不高，用户需要做额外的配置工作，配置与运维存在一定的困难与风险。同时，由于没有任何监控手段，KDC服务器的稳定性成为了重要的瓶颈，存在安全性的隐患。有鉴于此，有必要对现有技术中的基于apache Kerby的网络安全认证方案予以改进，以解决上述问题。
技术实现思路
本专利技术的目的在于公开一种网络安全认证方法，用以简化安装认证的部署流程，提高认证方法的安全性，并能够与大数据或者云计算系统的深度的整合，同时实现对KDC服务器运行状态的有效监控。为实现上述目的，本专利技术提供了一种网络安全认证方法，其基于ApacheKerby安全认证框架，所述网络安全认证方法包括以下步骤：S1、管理员自web客户端配置出基于Kerberos认证服务的KDC服务器；S2、通过KDC服务器对资源与用户Id、角色、Token Id、Token状态进行关联，以构建出关联信息；S3、用户自web客户端获取令牌值及令牌信息，将令牌信息保存至持久化节点中，并将令牌与资源绑定；S4、根据令牌信息与步骤S2中的关联信息确定用户对资源的访问权限。作为本专利技术的进一步改进，所述持久化节点包括分布式应用程序协调服务、json文件、xml文件、数据库或者非易失性存储介质。作为本专利技术的进一步改进，所述资源包括文件系统、物理机资源、虚拟机资源。作为本专利技术的进一步改进，所述步骤S4之后还包括通过ELK或者grafana将被用户所访问的资源推送至用户的web客户端。作为本专利技术的进一步改进，所述数据库包括opentsdb或者influxdb。与现有技术相比，本专利技术的有益效果：用户可通过web浏览器对KDC服务器进行配置操作，实现了一键化部署数据安全服务，此外通过运行监控方式，通过jmx监控，实现了对KDC服务器的运行状态的有效监控，并实现了与大数据及云计算的深度整合；最后，通过用户与权限角色、权限角色与资源的关系问题，通过对资源的token认证，为被用户访问的资源提供了安全级别更高的保护机制。附图说明图1为本专利技术一种网络安全认证方法的流程图；图2为用户在网络安全认证的实例的流程图；图3为用户用例图；图4为管理员自web客户端配置出基于Kerberos认证服务的KDC服务器的示意图；图5为用户自web客户端获取令牌值及令牌信息并将令牌信息保存至持久化节点中以实现将令牌与资源绑定的过程的示意图；图6为web应用服务器在用户正常访问资源时所形成的记录；图7为web应用服务器在用户不正常访问资源时所形成的记录。具体实施方式下面结合附图所示的各实施方式对本专利技术进行详细说明，但应当说明的是，这些实施方式并非对本专利技术的限制，本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代，均属于本专利技术的保护范围之内。请参图1至图7所示出的本专利技术一种网络安全认证方法的一种实施方式。在本实施方式中，一种网络安全认证方法，其基于Apache Kerby安全认证框架，该网络安全认证方法包括以下步骤：首先，执行步骤S1、管理员自web客户端配置出基于Kerberos认证服务的KDC服务器。在建立apache kerby的基础之上，可以通过web客户端方式而无需在Linux系统中以输入命令行的方式，就可以快速搭建KDC服务器，还可以通过Java管理扩展JMX所反馈的监控信息，把KDC服务器的运行状态信息(例如KDC服务器的负载、内存消耗情况、CPU占用率、线程占用情况)以web方式反应本文档来自技高网...

【技术保护点】
一种网络安全认证方法，其基于Apache Kerby安全认证框架，特征在于，所述网络安全认证方法包括以下步骤：S1、管理员自web客户端配置出基于Kerberos认证服务的KDC服务器；S2、通过KDC服务器对资源与用户Id、角色、Token Id、Token状态进行关联，以构建出关联信息；S3、用户自web客户端获取令牌值及令牌信息，将令牌信息保存至持久化节点中，并将令牌与资源绑定；S4、根据令牌信息与步骤S2中的关联信息确定用户对资源的访问权限。

【技术特征摘要】
1.一种网络安全认证方法，其基于Apache Kerby安全认证框架，特征在于，所述网络安全认证方法包括以下步骤：S1、管理员自web客户端配置出基于Kerberos认证服务的KDC服务器；S2、通过KDC服务器对资源与用户Id、角色、Token Id、Token状态进行关联，以构建出关联信息；S3、用户自web客户端获取令牌值及令牌信息，将令牌信息保存至持久化节点中，并将令牌与资源绑定；S4、根据令牌信息与步骤S2中的关联信息确定用户对资源的访问权限。2.根据权利要求1所述的...

【专利技术属性】
技术研发人员：许广彬，郑军，张银滨，强亮，周曙纲，
申请(专利权)人：无锡华云数据技术服务有限公司，
类型：发明
国别省市：江苏;32