技术领域
[0001] 本
发明涉及大数据技术领域,具体涉及基于大数据技术的安全认证方法及系统。
背景技术
[0002] 目前的大
数据中心主要建立在hadoop生态体系
基础上,大数据平台的暴露,使得蕴含着海量数据和潜在价值的大数据更容易吸引黑客的攻击,更容易产生身份验证、授权过程和输入验证等大量的安全问题;大数据本身的安全防护存在漏洞,虽然
云计算对大数据提供了便利,但对大数据的安全控制
力度仍然不够。
[0003] 可以根据大数据的密级程度和用户需求的不同,将大数据和用户设定不同的权限等级,进行严格的
访问权限控制,以保障大数据的应用安全。因此,有必要构建去中心化的数据交易结构,增强整个交易体系的健壮性,实现去中心化交易。从而实现降低数据交易成本和复杂性,促进数据更广泛的流通,实现一个
节点请求,多个节点兑付的目的。
[0004] 如
附图1所示,
现有技术中统一身份认证通过统一、集中管理不同应用体系身份存贮方式、统一认证的方式,使同一用户在所有应用系统中的身份一致,每个应用程序不必关心身份的认证过程。
[0005] 从网络结构上看,统一身份认证过程采取的是星型网络结构、集中认证模式,简化了每个应用的认证过程。
[0006] 然而,现有技术对于大数据分布式网络节点,统一身份认证存在如下
缺陷:
[0007] (1)大数据分布式存储与计算节点众多,某一节点如果被攻破,将导致本节点及其它节点数据的大量
泄漏。
[0008] (2)统一身份认证中心服务节点一旦被攻破,将引起全网认证体系的瘫痪。
[0009] (3)节点数量和
位置动态调整,面向单节点的传统安全防护措施也必须随之进行动态调整,后期运维工作量大。
[0010] 为克服上述缺陷,有必要提供一种基于区块链的大数据安全认证方法,建立去中心化用户认证机制,加强身份认证,构建安全可信大数据中心,对分布式动态大数据节点进行动态安全防护,简化后期运维工作。
发明内容
[0011] 为解决上述技术问题,本发明提供了一种基于区块链的大数据安全认证方法,该方法包括以下步骤:
[0012] (1)一大数据节点A将其身份认证进行全网广播;
[0013] (2)全网的所有其他大数据节点均对所述身份认证进行记录;
[0014] (3)当所述大数据节点A被认证访问的时候,该大数据节点A向全网发布含有时间戳的交易包,全网其他大数据节点对该交易包进行核对,确认该交易包与所述其他大数据节点保存的交易包是否一致;
[0015] (4)其他大数据节点确认一致,该交易包确认合法,将所述大数据节点A加入大数据区块链;
[0016] (5)该大数据节点A的安全认证通过。
[0017] 优选的,所述步骤(1)中进行全网广播的身份认证内容包括:用户标识、密码、权限。
[0018] 优选的,当某个大数据节点中的所述身份认证内容中的任意一项发生改变时,均要进行全网广播。
[0019] 优选的,所述对所述身份认证进行全网广播具体包括:将所述用户标识、密码、权限生成哈希值,并用私钥进行加密,将加密后的内容进行全网广播。
[0020] 优选的,在所述步骤(2)之后,所述全网的其他大数据节点收到每一条广播信息后,盖时间戳,放入临时区块。
[0021] 为解决上述技术问题,本发明提供了一种基于区块链的大数据安全认证系统,该系统包括由多个可信大数据节点依托分布式网络构建而成的可信大数据中心,该可信大数据节点包括大数据节点安全组件,该大数据节点安全组件位于可信大数据节点hadoop数据层、hadoop服务层基础之上的安全层,该大数据节点安全组件包括:
[0022] 节点认证子模块,用于完成所述可信大数据节点之间的相互信任,建立信任后,即可以凭借信任凭据进行可信大数据节点的资源访问与服务调用;
[0023] 用户认证子模块,用于完成外部请求用户身份的检验;
[0024] 资源访问子模块,用于将通过可信大数据节点检验的凭据,发送给可信大数据中心执行,之后将数据反馈给外部请求;
[0025] 安全控制子模块,用于根据动态安全管控的指令,执行安全操作;
[0026] 日志处理子模块,用于记录、上传,可信大数据中心产生的日志。
[0027] 优选的,上述基于区块链的大数据安全认证方法在该系统系统中执行。
[0028] 优选的,所述可信大数据节点之间可进行信息交换,所述信息交换的内容包括:所述可信大数据节点的IP地址、端口。
[0029] 优选的,将所述信息交换的内容生成哈希值,并将哈希值加密后进行全网广播,全网其他可信大数据节点均对该信息交换的内容进行记录。
[0030] 通过本发明的技术方案取得了以下技术效果:
[0031] 1、提高了网络健壮性
[0032] 认证服务分散在各个节点之间进行的,部分节点或网络遭到破坏对其它部分的影响很小,网络以自组织的方式建立,允许节点自由地加入和离开。每个节点既是
服务器又是客户机,减少了对传统C/S结构服务器计算能力、存储能力的要求,同时因为资源分布在多个节点,更好地实现了整个网络的负载均衡,提高了网络的健壮性。
[0033] 2、简化管理过程、节约运维成本
[0034] 去中心化认证网络中,资源和服务分散在每个节点上,信息传输和服务实现直接在节点之间进行,可以无需中间环节和服务器的介入,简化了运营管理过程。
[0035] 有效地利用网络中散布的大量普通节点,将计算任务分布到所有节点上,利用其中闲置的计算能力,降低了对服务器的性能要求,节约运营成本。
附图说明
[0036] 图1是现有技术中的系统架构图。
[0037] 图2是本发明的逻辑架构图之一。
[0038] 图3是本发明的本发明的逻辑架构图之二。
[0039] 图4是本发明本发明构建大数据中心的系统架构图。
[0040] 图5是本发明本发明构建可信数据交换网络的系统架构图。
具体实施方式
[0041] 名词解释:
[0042] Hadoop:是一个能够对大量数据进行分布式处理的
软件框架,核心设计是HDFS和MapReduce。HDFS为海量的数据提供了存储,则MapReduce为海量的数据提供了计算。
[0043] 去中心化:节点与节点之间的影响,会通过网络而形成非线性因果关系。去中心化是指开放式、扁平化、平等性的系统现象或结构。
[0044] 区块链,通过去中心化和去信任的方式集体维护一个可靠
数据库的技术方案。多应用于用户认证、保管资产及
智能合约等,无需第三方的接入,即可完成价值交换。
[0045] 应用区块链技术的过程本质上是组织区块内容与论证共识约定合理性的过程。
[0046] 智能合约,是基于区块链的能自动执行合约条款的
计算机程序,智能合约的流程包括:协定、形式化和执行。
[0047] ESB:Enterprise Service Bus,
企业服务总线,是传统
中间件技术与XML、Web服务等技术结合的产物。它提供了网络中不同主体间数据交互的能力。
[0048] Sqoop,主要用于在Hadoop(Hive)与传统的数据库间进行数据的传递。
[0049] 结合附图2-3,阐述本发明的技术方案。
[0050] 附图2-3展示了本发明的逻辑架构图。
[0051] 引入区块链理念,对单一节点的身份认证进行全网广播,加强大数据的安全认证。
[0052] (1)身份认证记录的内容
[0053] 节点身份认证基础数据包括:用户标识、密码、权限。
[0054] 节点身份认证基础数据中用户标识、密码、权限三类数据的任何一项发生变化,都将做全网记录(等同于区块链中的“交易”),即每个节点都保存记录。变更的时机发生在初始化过程和后期的每一次变更过程。
[0055] 记录的内容是用户标识、密码、权限生成的哈希值,并用私钥进行加密,保证广播过程中的数据安全。
[0056] (2)身份验证流程
[0057] 每个节点广播每一次的记录信息,全网(或某个区域)的每个节点均进行记录。
[0058] 每个节点收到每一条广播信息后,盖时间戳,收入临时区块,该临时区块为节点在本地的数据缓存区,里面保存本节点的记录数据。
[0059] 当某个节点被认证访问的时候(视为获得了打包权,即获得发布交易包或记录包),该节点向全网发布含有时间戳的交易包(一组哈希值),其他节点进行核对,确认该交易包与其他节点的是否一致。
[0060] 其他节点核对无误后,该交易包确认合法,生成新区块,将该新区块加入公共链。
[0061] 该节点的安全认证通过。
[0062] 附图4展示了本发明构建大数据中心的系统架构图。
[0063] 基于区块链理念开发大数据节点安全组件,嵌入到大数据节点,构建可信大数据节点,并依托分布式网络构建可信大数据中心。
[0064] 从技术架构及功能架构
角度来讲,大数据节点安全组件是位于大数据节点hadoop数据层、hadoop服务层基础之上的安全层。其主要功能是:
[0065] 节点认证,用于完成可信节点之间的相互信任,建立信任后,即可以凭借信任凭据进行大数据节点的资源访问与服务调用。
[0066] 用户认证,用于完成外部请求用户身份的检验。
[0067] 资源访问,用于将通过可信大数据节点检验的凭据,发送给大数据中心执行,而后将数据反馈给外部请求。
[0068] 安全控制,用于根据动态安全管控的指令,执行安全操作。
[0069] 日志处理,用于记录、上传,可信大数据中心产生的日志。
[0070] 通过可信大数据节点,确保大数据中心处于可信状态。
[0071] 本发明另外公开了一实施方式。
[0072] 一种基于区块链的大数据安全认证系统,该系统包括由多个可信大数据节点依托分布式网络构建而成的可信大数据中心,该可信大数据节点包括大数据节点安全组件,该大数据节点安全组件位于可信大数据节点hadoop数据层、hadoop服务层基础之上的安全层,该大数据节点安全组件包括:
[0073] 节点认证子模块,用于完成所述可信大数据节点之间的相互信任,建立信任后,即可以
[0074] 凭借信任凭据进行可信大数据节点的资源访问与服务调用;
[0075] 用户认证子模块,用于完成外部请求用户身份的检验;
[0076] 资源访问子模块,用于将通过可信大数据节点检验的凭据,发送给可信大数据中心执行,之后将数据反馈给外部请求;
[0077] 安全控制子模块,用于根据动态安全管控的指令,执行安全操作;
[0078] 日志处理子模块,用于记录、上传,可信大数据中心产生的日志。
[0079] 附图5是本发明构建可信数据交换网络的系统架构图。
[0080] 节点间的每一次数据交换行为视为一次“交易”,信息项包括两个节点的IP、端口、系统等,生成哈希值并用私钥加密,并做全网记录。
[0081] 以上所述仅为本发明的较佳
实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何
修改、等同替换以及改进等,均应保护在本发明的保护范围之内。
