一种分布式网元的统一认证方法及系统

技术领域

本发明涉及电子信息技术领域，尤其涉及一种分布式网元的统一认证方法及系统。

背景技术

针对服务端认证，现有主流的做法是通过账号密码进行认证，由于服务端不可能频繁更改配置的密码，因此，被爆破的可能性较高。服务端系统可以看作由不同功能的网元组成，现有还公开有统一认证的鉴权方式，是通过服务端各网元直接配置认证中心信息来与认证中心进行交互，但这需要对每个网元进行配置，存在配置麻烦，一旦更改，又容易出现改错或漏改的问题。这对于存在较多微服务的系统，造成了运维的困难。

针对以上问题，本发明提供一种可降低密码爆破的风险且无需对各网元进行配置的一种分布式网元的统一认证方法及系统。

发明内容

本发明要解决的技术问题，在于提供一种分布式网元的统一认证方法及系统，确保现有服务端各网元加密安全性的同时减少认证配置，降低处理业务逻辑难度。

第一方面，本发明提供一种分布式网元的统一认证方法，所述方法应用于用户端与服务端的交互中，所述服务端包括复数个网元和一用于与认证中心交互的SDK，所述方法包括如下步骤：

步骤101、通过用户端发送账号密码给认证中心，认证中心校验通过后写入加密口令，发布加密口令更新通知，返回加密口令信息给用户端；

步骤102、通过用户端携带加密口令向服务端的网元发起访问请求；

步骤103、通过所述网元调用SDK验证加密口令信息；

步骤104、通过所述SDK向认证中心发起校验加密口令信息，认证中心返回加密口令有效性给SDK，所述SDK将加密口令有效性返回给所述网元；

步骤105、通过所述网元根据SDK返回的加密口令的有效性，返回对5应的业务响应结果给用户端。

进一步的，若所述步骤103为首次执行，则在所述步骤3执行之后还执行如下操作：

由SDK获取认证中心信息，认证中心校验加密逻辑、加密口令，并返回认证中心信息给SDK，所述SDK订阅加密口令更新通知。

0进一步的，所述加密口令采用MD5和AES算法进行混合加密处理。

第二方面，本发明提供一种分布式网元的统一认证方法，所述方法应用于服务端内部网元之间的交互中，所述服务端包括复数个网元和一用于与认

证中心交互的SDK，所述方法包括如下步骤：

5步骤201、网元服务A传入认证码给服务端SDK，所述服务端SDK针

对认证码进行加密处理，之后将加密后的认证码发送给认证中心；

步骤202、认证中心校验加密逻辑、认证码，在校验通过后写入加密口令，发布加密口令更新通知，返回加密口令信息给服务端SDK；

步骤203、服务端SDK将加密口令返回给网元服务A，所述网元服务A0向其他网元发起业务请求；

步骤204、所述其他网元调用SDK校验加密口令信息；

步骤205、所述SDK向认证中心发起校验加密口令信息，认证中心返回加密口令有效性给SDK，所述SDK将加密口令有效性返回给所述其他网元；

5步骤206、所述其他网元根据SDK返回的加密口令的有效性，返回对

应的业务响应结果给所述网元A。

进一步的，所述步骤201具体为：所述网元服务A通过调用服务端SDK的获取加密口令Api，同时将认证码传入所述获取加密口令Api，在服务端SDK进行加密处理之后，将加密后的认证码通过Http发送给认证中心

进一步的，所述步骤202具体为：认证中心根据预定的加密逻辑，读出认证码、随机数和密文，判断认证码有效性后，依据另一加密逻辑，将认证码和随机数加密为密文，比较两个密文是否一致，一致则校验通过，生成加密口令进行返回给服务端SDK，同时发布加密口令更新通知。

进一步的，所述认证码采用MD5和AES算法进行混合加密处理。

进一步的，若所述步骤204为首次执行，则在所述步骤204执行之后还执行如下操作：

由SDK获取认证中心信息，认证中心校验加密逻辑、加密口令，并返回认证中心信息给SDK，所述SDK订阅加密口令更新通知。

第三方面，本发明提供一种分布式网元的统一认证系统，需提供用户端与服务端，所述服务端包括复数个网元和一用于与认证中心交互的SDK，所述系统包括：

加密口令获取模块，用于通过用户端发送账号密码给认证中心，认证中心校验通过后写入加密口令，发布加密口令更新通知，返回加密口令信息给用户端；

请求发起模块，用于通过用户端携带加密口令向服务端的网元发起访问请求；

校验模块，用于通过所述网元调用SDK验证加密口令信息；

有效性获取模块，用于通过所述SDK向认证中心发起校验加密口令信息，认证中心返回加密口令有效性给SDK，所述SDK将加密口令有效性返回给所述网元；

业务响应模块，用于通过所述网元根据SDK返回的加密口令的有效性，返回对应的业务响应结果给用户端。

进一步的，若所述校验模块为首次执行，则在所述校验模块执行之后还包括连接模块；

所述连接模块，用于由SDK获取认证中心信息，认证中心校验加密逻辑、加密口令，并返回认证中心信息给SDK，所述SDK订阅加密口令更新通知。

本发明提供的一个或多个技术方案，至少具有如下技术效果或优点：通过SDK结合认证中心的方式实现了分布式网元的统一认证，各网元专注业务实现开发，做到了业务单一；SDK提供了即插即用方式，方便分布式网元的统一认证，各网元均通过同一个SDK实现认证，SDK还提供生成服务端加密口令，方便各个网元使用Http进行交互。本发明能够在确保现有服务端各网元加密安全性的同时能够做到减少认证配置工作，降低处理业务逻辑难度。

附图说明

下面参照附图结合实施例对本发明作进一步的说明。

图1为本发明实施例一中一种分布式网元的统一认证方法的执行流程图；

图2为本发明实施例一对应的交互示意图；

图3为本发明实施例二中一种分布式网元的统一认证方法的执行流程图；

图4为本发明实施例二对应的交互示意图；

图5为本发明实施例三中一种分布式网元的统一认证系统的结构示意图。

具体实施方式

本申请实施例通过提供一种分布式网元的统一认证方法及系统，用于解决现有的用户普通密码爆破风险问题，同时还解决了各网元配置麻烦的问题。

本申请实施例中的技术方案，总体思路如下：在服务端设置一个专门用于认证的SDK，该SDK提供校验加密口令的Api给服务端的各个网元，每一网元在需要进行认证时只需要通过调用该Api即可自动获取认证中心的连接信息进行认证操作，实现来账号中心化管理，各网元也无需直接配置认证中心信息来与认证中心进行交互，减少各网元的繁琐配置，使网元专注于业务实现开发，做到了业务单一，本发明采用SDK的方式可实现即插即用，方便了网元对本方法的引入。

为了更好地理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。

实施例一

本实施例提供一种分布式网元的统一认证方法，如图1和图2所示，所述方法应用于用户端与服务端的交互中，所述服务端包括复数个网元和一用于与认证中心交互的SDK，所述方法包括如下步骤：

步骤101、通过用户端发送账号密码给认证中心，认证中心校验通过后写入加密口令，发布加密口令更新通知，返回加密口令信息给用户端；

步骤102、通过用户端携带加密口令向服务端的网元发起访问请求；

步骤103、通过所述网元调用SDK验证加密口令信息；

步骤104、通过所述SDK向认证中心发起校验加密口令信息(携带有加密口令)，认证中心返回加密口令有效性给SDK，所述SDK将加密口令有效性返回给所述网元；

步骤105、通过所述网元根据SDK返回的加密口令的有效性，返回对应的业务响应结果给用户端。

较佳的，若所述步骤103为首次执行，则在所述步骤103执行之后还执行如下操作：

由SDK获取认证中心信息，SDK同时携带加密口令，认证中心校验加密逻辑、加密口令，并返回认证中心信息给SDK，所述SDK订阅加密口令更新通知；

该过程在整个过程中只成功执行一次，即对加密口令进行校验，同时包括对SDK中的请求参数(包括服务端信息和加密口令)进行解密处理，校验内置加密解密逻辑，在校验通过时，会返回连接信息，SDK根据返回信息进行连接，一旦连接后，SDK会订阅加密口令变更的通道，用于获取加密口令变更的通知，之后，当网元需要获取及时的加密口令信息时(加密口令的更新采用认证中心的更新机制进行更新)，可通过回调获取，即在连接之后，加密口令校验方式只需调用SDK验证加密口令信息，由SDK向认证中心发起验证加密口令信息，由认证中心返回加密口令有效性给SDK，SDK再将加密口令有效性返回给所述网元，即可完成加密口令的校验。

较佳的，所述加密口令采用MD5和AES算法进行混合加密处理。

实施例二

本实施例提供一种分布式网元的统一认证方法，如图3和图4所示，所述方法应用于服务端内部网元之间的交互中，所述服务端包括复数个网元和一用于与认证中心交互的SDK(即服务端中通用的SDK)，所述方法包括如下步骤：

步骤201、网元服务A传入认证码给服务端SDK(专门用于登入的服务端SDK)，所述服务端SDK针对认证码进行加密处理，之后将加密后的认证码发送给认证中心；

步骤202、认证中心校验加密逻辑、认证码，在校验通过后写入加密口令，发布加密口令更新通知，返回加密口令信息给服务端SDK；

步骤203、服务端SDK将加密口令返回给网元服务A，所述网元服务A向其他网元发起业务请求；

步骤204、所述其他网元调用SDK校验加密口令信息；

步骤205、所述SDK向认证中心发起校验加密口令信息(携带有加密口令)，认证中心返回加密口令有效性给SDK，所述SDK将加密口令有效性返回给所述其他网元；

步骤206、所述其他网元根据SDK返回的加密口令的有效性，返回对应的业务响应结果给所述网元A。

较佳的，所述步骤201具体为：所述网元服务A通过调用服务端SDK的获取加密口令Api，同时将认证码传入所述获取加密口令Api，在服务端SDK进行加密处理之后，将加密后的认证码通过Http发送给认证中心

较佳的，所述步骤202具体为：认证中心根据预定的加密逻辑，读出认证码、随机数和密文，判断认证码有效性后，依据另一加密逻辑，将认证码和随机数加密为密文，比较两个密文是否一致，一致则校验通过，生成加密口令进行返回给服务端SDK，同时发布加密口令更新通知。

较佳的，所述认证码采用MD5和AES算法进行混合加密处理。

较佳的，若所述步骤204为首次执行，则在所述步骤204执行之后还执行如下操作：

由SDK获取认证中心信息，SDK同时携带加密口令，认证中心校验加密逻辑、加密口令，并返回认证中心信息给SDK，所述SDK订阅加密口令更新通知；

该过程在整个过程中只成功执行一次，即对加密口令进行校验，同时包括对SDK中的请求参数(包括服务端信息和加密口令)进行解密处理，校验内置加密解密逻辑，在校验通过时，会返回连接信息，SDK根据返回信息进行连接，一旦连接后，SDK会订阅加密口令变更的通道，用于获取加密口令变更的通知，之后，当所述其他网元需要获取及时的加密口令信息时(加密口令的更新采用认证中心的更新机制进行更新)，可通过回调获取，即在连接之后，加密口令校验方式只需调用SDK验证加密口令信息，由SDK向认证中心发起验证加密口令信息，由认证中心返回加密口令有效性给SDK，SDK再将加密口令有效性返回给所述其他网元，即可完成加密口令的校验。

实施例三

本实施例提供一种分布式网元的统一认证系统，如图5所示，需提供用户端与服务端，所述服务端包括复数个网元和一用于与认证中心交互的SDK，所述系统包括：

加密口令获取模块，用于通过用户端发送账号密码给认证中心，认证中心校验通过后写入加密口令，发布加密口令更新通知，返回加密口令信息给用户端；

请求发起模块，用于通过用户端携带加密口令向服务端的网元发起访问请求；

校验模块，用于通过所述网元调用SDK验证加密口令信息；

有效性获取模块，用于通过所述SDK向认证中心发起校验加密口令信息(携带有加密口令)，认证中心返回加密口令有效性给SDK，所述SDK将加密口令有效性返回给所述网元；

业务响应模块，用于通过所述网元根据SDK返回的加密口令的有效性，返回对应的业务响应结果给用户端。

较佳的，若所述校验模块为首次执行，则在所述校验模块执行之后还包括连接模块；

所述连接模块，用于由SDK获取认证中心信息，SDK同时携带加密口令，认证中心校验加密逻辑、加密口令，并返回认证中心信息给SDK，所述SDK订阅加密口令更新通知。该过程在整个过程中只成功执行一次，即对加密口令进行校验，同时包括对SDK中的请求参数(包括服务端信息和加密口令)进行解密处理，校验内置加密解密逻辑，在校验通过时，会返回连接信息，SDK根据返回信息进行连接，一旦连接后，SDK会订阅加密口令变更的通道，用于获取加密口令变更的通知，之后，当所述其他网元需要获取即时的加密口令信息时(采用认证中心的更新机制对加密口令按需进行更新，图中未标识)，可通过回调获取，即在连接之后，加密口令校验方式只需调用SDK验证加密口令信息，由SDK向认证中心发起验证加密口令信息，由认证中心返回加密口令有效性给SDK，SDK再将加密口令有效性返回给所述其他网元，即可完成加密口令的校验。

较佳的，所述加密口令采用MD5和AES算法进行混合加密处理。

本技术基于MD5、AES实现无密码认证，可确保认证的安全可靠性。MD5信息摘要算法是一种被广泛使用的密码散列函数，可以产生出一个128位(16字节)的散列值(hashvalue)，用于确保信息传输完整一致。AES加密是一种一种区块加密标准，是对称密钥加密中最流行的算法之一，可以实现解密方快速解析出加密前的字符串，AES的区块长度固定为128位，密钥长度则可以是128，192或256位。本发明中的加密均可采用MD5与AES算法混合加密的方式进行加密处理，所述混合加密的过程具体可以为：

将随机数s0使用MD5进行加密作为s1，s1经过AES和密钥(预先设定的固定加密key值)进行加密作为s2，s2加密钥进行MD5后作为加密字符串m1，将随机数s0经过密钥加密后作为加密字符串m2。m1和m2作为最终加密字符串，即加密得到的最终的加密口令或认证码。

本发明通过SDK结合认证中心的方式实现了分布式网元的统一认证，使得各网元专注业务实现开发，做到了业务单一；SDK提供了即插即用，方便了网元的引入。本发明采用特殊的加密算法+认证码或加密口令的处理方式，该方式可以在保证加密安全性的同时降低处理业务逻辑难度，让服务端获取认证加密口令，无需密码即可获取授权，服务端SDK还提供生成服务端加密口令，方便各个网元使用Http进行交互。在用户端鉴权方面，提供了Api封装，即SDK的校验加密口令的Api，网元鉴权只需要简单调用SDK的判断即可，无需对各个网元进行配置，减少配置工作与配置出错率，从整体提高网元认证效率。

虽然以上描述了本发明的具体实施方式，但是熟悉本技术领域的技术人员应当理解，我们所描述的具体的实施例只是说明性的，而不是用于对本发明的范围的限定，熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化，都应当涵盖在本发明的权利要求所保护的范围内。