專利名稱:認證信息處理方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明總體上涉及對數(shù)據進行處理的方法和系統(tǒng)�,特別的本發(fā)明涉及對認證信息進行處理的方法和系統(tǒng)。
背景技術:
認證技術用以確定某一個用戶或其它實體是否被允許訪問特定的系統(tǒng)或資源���,認證技術已經廣泛應用于各種計算機應用�����?�;诳诹畹恼J證方式是一種最常見的技術�。在口令認證中����,用戶將發(fā)送一個包含用戶賬戶和密碼的登錄請求,服務器端將該登錄請求轉發(fā)到認證節(jié)點(Authentication Node),由認證節(jié)點根據節(jié)點上存儲的認證信息對登錄請求中的認證信息進行認證?,F(xiàn)有技術中認證信息(AuthenticationInformation)往往存儲在一個或多個固 定的認證節(jié)點上。僅有一個認證節(jié)點的認證系統(tǒng)的安全性是比較差的��,因為該認證節(jié)點比較容易成為黑客攻擊的目標���。輕型目錄訪問協(xié)議���,即Lightweight DirectoryAccess
Protocol (LDAP)是一個訪問在線目錄服務的協(xié)議��。分布式輕量級目錄訪問協(xié)議系統(tǒng)已經被廣泛應用于認證領域從而允許多個認證節(jié)點相互連接組成一個認證簇(cluster)��。出于性能優(yōu)化和災備的考慮�,認證信息將分布在多個認證節(jié)點上�。比如假如一個公司有100名員工,員工號從No. I-No. 100����。用戶登錄公司內部網絡的認證信息被分布在5個認證節(jié)點上。為了使得登錄請求獲得及時響應�,并防止災難或機器故障帶來的數(shù)據丟失,可以將這100名員工的認證信息以冗余的方式存儲在5個認證節(jié)點上�,認證信息分布結果參見下面表I :
認證節(jié)點節(jié)點I節(jié)點I節(jié)點3節(jié)點4節(jié)點5
員工認證信 No. I-No. 20 No. 21-No. 40 No. 41-No. 60 No. 61-No. 80 No. 81-No. 100 表 I息No. 31-No. 50 No.51-No. 70 No. 71-No. 90 No. 1-No. 10 No.11-No. 30
No. 91-No. 100由表I可知,每名員工的認證信息被存儲在兩個不同的認證節(jié)點上���。
發(fā)明內容
本發(fā)明的發(fā)明人發(fā)現(xiàn)�����,現(xiàn)有技術中每份認證信息被存儲在一個或多個認證節(jié)點上�,然而認證信息一旦被存儲在該一份或多份認證節(jié)點上就不會再被更新��,而是一直存儲在原有認證節(jié)點上�����。因此這種固定的存儲認證信息的方式帶來某種安全隱患�,一旦黑客(hacker)攻破該一個或多個認證節(jié)點就可以獲得相應的認證信息。如果公司的內部網站的認證信息被集中存儲在一個認證節(jié)點上���,那么黑客只要攻破該認證節(jié)點就可以永久獲得所有員工的認證信息����。如果公司的內部網站的認證信息被分布式存儲在多個國家的多個認證節(jié)點上�,那么黑客可能通過攻擊公司總部所在地的認證節(jié)點從而永久性獲得公司高管的認證信息。也就是說�,固定的存儲認證信息的方式使得黑客有更多的可能性來獲得并永久使用所獲得的認證信息。
為了解決上述問題����,本發(fā)明提出了一種認證信息處理技術,該技術可以使得認證信息在多個認證節(jié)點間進行輪轉��,從而使得黑客沒有辦法永久性獲得認證信息��。具體而言,本發(fā)明提供一種對認證信息進行處理的方法��,其中所述認證信息存儲在第一認證節(jié)點上�,所述方法包括確定所述認證信息的輪轉順序,確定所述認證信息的輪轉觸發(fā)條件���,以及響應于所述輪轉觸發(fā)條件成立���,按照所述輪轉順序發(fā)送所述認證信息的至少一部分到第二認證節(jié)點。本發(fā)明還提供一種對認證信息進行處理的系統(tǒng)����,其中所述認證信息存儲在第一認證節(jié)點上,所述系統(tǒng)包括輪轉順序確定裝置����,被配置為確定所述認證信息的輪轉順序,輪轉觸發(fā)條件確定裝置��,被配置為確定所述認證信息的輪轉觸發(fā)條件��,以及發(fā)送裝置�,被配置為響應于所述輪轉觸發(fā)條件成立按照所述輪轉順序發(fā)送所述認證信息的至少一部分到第二認證節(jié)點。
按照本發(fā)明的一個方面,所述認證信息包括賬戶信息與認證模塊信息�����,其中所述輪轉順序包括賬戶信息的輪轉順序以及認證模塊信息的輪轉順序�,并且所述按照所述輪轉順序發(fā)送所述認證信息的至少一部分到第二認證節(jié)點包括按照賬戶信息的輪轉順序將所述賬戶信息發(fā)送到所述第二認證節(jié)點�,所述方法進一步包括按照認證模塊信息的輪轉順序將所述認證模塊信息發(fā)送到第三認證節(jié)點。按照本發(fā)明的一個方面����,所述認證信息中包含時間戳信息以表明所述認證信息的有效期間。
本說明中所參考的附圖只用于示例本發(fā)明的典型實施例�����,不應該認為是對本發(fā)明范圍的限制�。圖I示出了適于用來實現(xiàn)本發(fā)明的一種實施方式的示例性計算系統(tǒng)的框圖。圖2示出了本發(fā)明的認證信息處理方法流程圖����。圖3示出了按照本發(fā)明的一種實施例的確定認證信息的輪轉順序的流程圖。圖4A示出了按照本發(fā)明的一個實施例的認證信息示意圖�����。圖4B示出了按照本發(fā)明的另一個實施例的認證信息示意圖。圖5示出了按照本發(fā)明的一個實施例的派遣認證請求的流程圖�。圖6示出了按照本發(fā)明的另一個實施例的派遣認證請求的流程圖。圖7示出了按照本發(fā)明的一個實施例的處理認證請求的流程圖�。圖8A示出了按照本發(fā)明的一個實施例的認證信息輪轉前認證系統(tǒng)示意圖。圖8B示出了按照本發(fā)明的一個實施例的認證信息輪轉后認證系統(tǒng)示意圖��。圖9A示出了按照本發(fā)明的另一個實施例的認證信息輪轉前認證系統(tǒng)示意圖����。圖9B示出了按照本發(fā)明的另一個實施例的認證信息輪轉后認證系統(tǒng)示意圖。圖10示出了本發(fā)明的認證信息處理系統(tǒng)流程圖�。
具體實施例方式本文中所用的術語,僅僅是為了描述特定的實施例���,而不意圖限定本發(fā)明�。本文中所用的單數(shù)形式的“一”和“該”�,旨在也包括復數(shù)形式,除非上下文中明確地另行指出����。還要知道,“包含”一詞在本說明書中使用時��,說明存在所指出的特征��、整體、步驟��、操作���、單元和/或組件����,但是并不排除存在或增加一個或多個其它特征��、整體����、步驟�����、操作�、單元和/或組件,以及/或者它們的組合�。權利要求中的對應結構、材料����、操作以及所有功能性限定的裝置(means)或步驟的等同替換,旨在包括任何用于與在權利要求中具體指出的其它單元相組合地執(zhí)行該功能的結構、材料或操作�����。所給出的對本發(fā)明的描述其目的在于示意和描述��,并非是窮盡性的�����,也并非是要把本發(fā)明限定到所表述的形式����。對于所屬技術領域的普通技術人員來說,在不偏離本發(fā)明范圍和精神的情況下�,顯然可以做出許多修改和變型。對實施例的選擇和說明���,是為了最好地解釋本發(fā)明的原理和實際應用�����,使所屬技術領域的普通技術人員能夠明了�����,本發(fā)明可以有適合所要的特定用途的具有各種改變的各種實施方式����。所屬技術領域的技術人員知道,本發(fā)明的多個方面可以體現(xiàn)為系統(tǒng)��、方法或計算機程序產品�。因此,本發(fā)明的多個方面可以具體實現(xiàn)為以下形式���,即���,可以是完全的硬件、完全的軟件(包括固件��、駐留軟件����、微代碼等)����、或者本文一般稱為“電路”、“模塊”或“系統(tǒng)”的軟件部分與硬件部分的組合�����。此外,本發(fā)明的多個方面還可以采取體現(xiàn)在一個或多個計算機可讀介質中的計算機程序產品的形式��,該計算機可讀介質中包含計算機可用的程序碼�。
可以使用一個或多個計算機可讀的介質的任何組合。計算機可讀介質可以是計算機可讀信號介質或者計算機可讀存儲介質���。計算機可讀存儲介質例如可以是一但不限于——電的���、磁的、光的����、電磁的、紅外線的���、或半導體的系統(tǒng)��、裝置�、器件或任何以上的組合��。計算機可讀存儲介質的更具體的例子(非窮舉的列表)包括以下有一個或多個導線的電連接����、便攜式計算機磁盤��、硬盤�、隨機存取存儲器(RAM)�����、只讀存儲器(ROM)���、可擦式可編程只讀存儲器(EPR0M或閃存)�、光纖���、便攜式緊湊磁盤只讀存儲器(CD-ROM)�����、光存儲器件、磁存儲器件�、或者上述的任何合適的組合。在本文件的語境中�����,計算機可讀存儲介質可以是任何包含或存儲程序的有形的介質,該程序被指令執(zhí)行系統(tǒng)���、裝置或者器件使用或者與其結合使用�����。計算機可讀的信號介質可包括在基帶中或者作為載波一部分傳播的��、其中體現(xiàn)計算機可讀的程序碼的傳播的數(shù)據信號����。這種傳播的信號可以采用多種形式��,包括——但不限于——電磁信號�、光信號或任何以上合適的組合。計算機可讀的信號介質可以是并非為計算機可讀存儲介質���、但是能發(fā)送��、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)��、裝置或者器件使用或者與其結合使用的程序的任何計算機可讀介質��。計算機可讀介質上包含的程序代碼可以用任何適當?shù)慕橘|傳輸��,包括——但不限于——無線�����、電線�、光纜、RF等等�,或者任何合適的上述組合。計算機可讀介質上包含的程序代碼可以用任何適當?shù)慕橘|傳輸�,包括一但不限于——無線、電線���、光纜���、RF等等,或者任何合適的上述組合��。用于執(zhí)行本發(fā)明的操作的計算機程序碼����,可以以一種或多種程序設計語言的任何組合來編寫,所述程序設計語言包括面向對象的程序設計語言-諸如Java���、Smalltalk���、C++之類,還包括常規(guī)的過程式程序設計語言-諸如” C”程序設計語言或類似的程序設計語言�����。程序碼可以完全地在用戶的計算上執(zhí)行��、部分地在用戶的計算機上執(zhí)行����、作為一個獨立的軟件包執(zhí)行、部分在用戶的計算機上部分在遠程計算機上執(zhí)行�����、或者完全在遠程計算機或服務器上執(zhí)行�。在后一種情形中,遠程計算機可以通過任何種類的網絡一包括局域網(LAN)或廣域網(WAN)-連接到用戶的計算機����,或者,可以(例如利用因特網服務提供商來通過因特網)連接到外部計算機�。以下參照按照本發(fā)明實施例的方法、裝置(系統(tǒng))和計算機程序產品的流程圖和/或框圖描述本發(fā)明的多個方面。要明白的是����,流程圖和/或框圖的每個方框以及流程圖和/或框圖中各方框的組合,都可以由計算機程序指令實現(xiàn)��。這些計算機程序指令可以提供給通用計算機����、專用計算機或其它可編程數(shù)據處理裝置的處理器,從而生產出一種機器��,使得通過計算機或其它可編程數(shù)據處理裝置執(zhí)行的這些指令�����,產生實現(xiàn)流程圖和/或框圖中的方框中規(guī)定的功能/操作的裝置��。也可以把這些計算機程序指令存儲在能指令計算機或其它可編程數(shù)據處理裝置以特定方式工作的計算機可讀介質中��,這樣���,存儲在計算機可讀介質中的指令產生一個包括實現(xiàn)流程圖和/或框圖中的方框中規(guī)定的功能/操作的指令裝置(instructionmeans)的制造品�����。也可以把計算機程序指令加載到計算機或其它可編程數(shù)據處理裝置上����,使得在計算機或其它可編程數(shù)據處理裝置上執(zhí)行一系列操作步驟����,以產生計算機實現(xiàn)的過程,從而在計算機或其它可編程裝置上執(zhí)行的指令就提供實現(xiàn)流程圖和/或框圖中的方框中規(guī)定的功能/操作的過程����。
本發(fā)明附圖中的流程圖和框圖,圖示了按照本發(fā)明各種實施例的系統(tǒng)����、方法和計算機程序產品的可能實現(xiàn)的體系架構、功能和操作����。在這點上,流程圖或框圖中的每個方框可以代表一個模塊���、程序段��、或代碼的一部分����,所述模塊、程序段����、或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應當注意����,在有些作為替換的實現(xiàn)中,方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生�。例如,兩個接連地表示的方框實際上可以基本并行地執(zhí)行�����,它們有時也可以按相反的順序執(zhí)行�,這依所涉及的功能而定。也要注意的是����,框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合���,可以用執(zhí)行規(guī)定的功能或操作的專用的基于硬件的系統(tǒng)來實現(xiàn)�,或者可以用專用硬件與計算機指令的組合來實現(xiàn)。圖I示出了適于用來實現(xiàn)本發(fā)明的一種實施方式的示例性計算系統(tǒng)的框圖���。如所示�����,計算機系統(tǒng)100可以包括CPU(中央處理單元)101、RAM(隨機存取存儲器)102��、R0M(只讀存儲器)103�、系統(tǒng)總線104、硬盤控制器105�����、鍵盤控制器106���、串行接口控制器107��、并行接口控制器108�、顯示控制器109�����、硬盤110、鍵盤111��、串行外部設備112�、并行外部設備113和顯示器114。在這些設備中��,與系統(tǒng)總線104耦合的有CPU 10URAM 102����、R0M103、硬盤控制器105���、鍵盤控制器106��、串行控制器107��、并行控制器108和顯示控制器109�����。硬盤110與硬盤控制器105耦合����,鍵盤111與鍵盤控制器106耦合�����,串行外部設備112與串行接口控制器107耦合,并行外部設備113與并行接口控制器108耦合���,以及顯示器114與顯示控制器109耦合�����。應當理解�����,圖I所述的結構框圖僅僅為了示例的目的而示出的,而不是對本發(fā)明范圍的限制���。在某些情況下����,可以根據具體情況而增加或者減少某些設備��。圖2示出了本發(fā)明的認證信息處理方法流程圖���。圖2中所示的認證信息處理方法中的認證信息存儲在第一認證節(jié)點上��。按照本發(fā)明的一種實施例�,所述認證信息包括賬戶信息,比如賬戶ID����、個人識別號PIN等,所述賬戶ID可以是用戶名�、email、車牌號等任何賬戶ID�,所述識別號可以是密碼、身份證號碼等任何識別號�。圖4A示出了按照本發(fā)明的一個實施例的認證信息示意圖,該示意圖中認證信息包含賬戶信息Acc A0如果所述賬戶信息以列表方式存儲����,可以如下表I所示
ID ~Ρ Ν
權利要求
1.一種對認證信息進行處理的方法,所述認證信息存儲在第一認證節(jié)點上����,所述方法包括 確定所述認證信息的輪轉順序, 確定所述認證信息的輪轉觸發(fā)條件����,以及 響應于所述輪轉觸發(fā)條件成立,按照所述輪轉順序發(fā)送所述認證信息的至少一部分到第二認證節(jié)點。
2.按照權利要求I所述的方法�,其中所述認證信息包括賬戶信息與認證模塊信息。
3.按照權利要求2所述的方法��,其中所述輪轉順序包括賬戶信息的輪轉順序以及認證模塊信息的輪轉順序���, 并且所述按照所述輪轉順序發(fā)送所述認證信息的至少一部分到第二認證節(jié)點包括 按照賬戶信息的輪轉順序將所述賬戶信息發(fā)送到所述第二認證節(jié)點�����, 并且所述方法還包括 按照認證模塊信息的輪轉順序將所述認證模塊信息發(fā)送到第三認證節(jié)點�。
4.按照權利要求I所述的方法�����,其中所述輪轉觸發(fā)條件包括達到預定時間�����。
5.按照權利要求I所述的方法����,其中所述輪轉觸發(fā)條件為動態(tài)觸發(fā)條件�。
6.按照權利要求I至5中任一權利要求所述的方法,其中所述輪轉觸發(fā)條件包括在所述第一認證節(jié)點空閑時開始所述認證信息的輪轉�����。
7.按照權利要求I所述的方法,其中確定所述認證信息的輪轉順序進一步包括隨機確定所述認證信息的所述輪轉順序���。
8.按照權利要求I所述的方法�����,其中所述第一認證節(jié)點在所述認證信息的發(fā)送期間暫停對與所述認證信息有關的認證請求的處理����。
9.按照權利要求I所述的方法���,其中所述第一認證節(jié)點在所述認證信息的發(fā)送期間不暫停對與所述認證信息有關的認證請求的處理�����。
10.按照權利要求I所述的方法��,其中所述認證信息中包含時間戳信息以表明所述認證信息的有效期間�。
11.按照權利要求I所述的方法���,其中所述認證請求通過組播的方式被分發(fā)到多個認證節(jié)點���。
12.按照權利要求I所述的方法�,其中所述認證請求通過節(jié)點路由器分發(fā)到第二認證節(jié)點��,其中所述節(jié)點路由器存儲有所述認證信息的分派表���。
13.—種對認證信息進行處理的系統(tǒng)����,其中所述認證信息存儲在第一認證節(jié)點上�����,所述系統(tǒng)包括 輪轉順序確定裝置�����,被配置為確定所述認證信息的輪轉順序�, 輪轉觸發(fā)條件確定裝置�,被配置為確定所述認證信息的輪轉觸發(fā)條件,以及 發(fā)送裝置����,被配置為響應于所述輪轉觸發(fā)條件成立按照所述輪轉順序發(fā)送所述認證信息的至少一部分到第二認證節(jié)點��。
14.按照權利要求13所述的系統(tǒng)���,其中所述認證信息包括賬戶信息與認證模塊信息。
15.按照權利要求14所述的系統(tǒng)����,其中所述輪轉順序包括賬戶信息的輪轉順序以及認證模塊信息的輪轉順序, 并且所述發(fā)送裝置進一步被配置為按照賬戶信息的輪轉順序將所述賬戶信息發(fā)送到所述第二認證節(jié)點并且按照認證模塊信息的輪轉順序將所述認證模塊信息發(fā)送到第三認證節(jié)點�����。
16.按照權利要求13所述的系統(tǒng)����,其中所述輪轉觸發(fā)條件包括達到預定時間。
17.按照權利要求13所述的系統(tǒng)�,其中所述輪轉觸發(fā)條件為動態(tài)觸發(fā)條件。
18.按照權利要求13至17任一權利要求所述的系統(tǒng)�����,其中所述輪轉觸發(fā)條件包括在所述第一認證節(jié)點空閑時開始所述認證信息的輪轉���。
19.按照權利要求13所述的系統(tǒng)���,其中所述認證信息中包含時間戳信息以表明所述認證信息的有效期間�����。
全文摘要
本發(fā)明的發(fā)明人涉及一種認證信息處理技術�,該技術可以使得認證信息在多個認證節(jié)點間進行輪轉���,從而使得黑客沒有辦法永久性獲得認證信息�����。具體而言����,本發(fā)明提供一種認證信息處理方法����,其中所述認證信息存儲在第一認證節(jié)點上,包括確定所述認證信息的輪轉順序���,確定所述認證信息的輪轉觸發(fā)條件�,以及響應于所述輪轉觸發(fā)條件成立���,按照所述輪轉順序發(fā)送所述認證信息的至少一部分到第二認證節(jié)點以由第二認證節(jié)點處理與所述認證信息有關的認證請求����。
文檔編號H04L29/06GK102761520SQ201110104879
公開日2012年10月31日 申請日期2011年4月26日 優(yōu)先權日2011年4月26日
發(fā)明者周皓峰, 李嚴, 鄭凱, 魏薇 申請人:國際商業(yè)機器公司