本技术涉及云计算,尤其涉及一种身份认证系统、方法、设备及存储介质。
背景技术:
1、随着云计算技术和容器技术的发展,原有“信任内部,不信任外部”的安全模型不再适应。由于容器集群管理系统(kubernetes,k8s)的环境的特殊性和复杂性,使得零信任的安全模型应运而生,即“永远不信任,始终验证”,如此提高k8s的环境的安全性。
2、虽然,零信任的安全模型在理论上提高了k8s的环境的安全性,但在实际应用中,k8s的性能往往受到挑战。当每次数据访问时,均需要进行身份验证,这将会增加额外的延迟,进而影响整体应用的响应时间。
技术实现思路
1、本技术提供一种身份认证系统、方法、设备及存储介质,能够降低数据响应延迟,减少对整体应用的响应时间的影响。
2、为达到上述目的,本技术采用如下技术方案:
3、第一方面,本技术提供了一种身份认证系统,所述系统包括:第一数据处理单元、第二数据处理单元、第一容器和第二容器;
4、所述第一数据处理单元,用于向第二数据处理单元发送第一连接请求消息;
5、所述第二数据处理单元,用于根据所述第一连接请求消息,向所述第二容器发送第一签名请求消息;
6、所述第二容器,用于根据第二私钥对所述第一签名请求消息进行签名,生成第一证书信息,并将所述第一证书信息返回给所述第二数据处理单元;
7、所述第二数据处理单元,还用于根据所述第一证书信息,生成第二证书信息,并将所述第二证书信息发送给所述第一数据处理单元;
8、所述第一数据处理单元,还用于根据所述第二证书信息,向所述第一容器发送第二签名请求消息;
9、所述第一容器,用于根据第一私钥对所述第二签名请求消息进行签名,生成第三证书信息,并将所述第三证书信息返回给所述第一数据处理单元;
10、所述第一数据处理单元,还用于根据所述第三证书信息,向所述第二数据处理单元发送第四证书信息;
11、所述第二数据处理单元,还用于根据所述第四证书信息进行身份认证。
12、在一些可能的实现方式中,所述第一数据处理单元,用于通过以下方式,生成第一连接请求消息:
13、生成第一安全因子、第二安全因子和第一随机数,对所述第一安全因子、所述第二安全因子和所述第一随机数进行拼接,得到第一连接请求消息。
14、在一些可能的实现方式中,所述第二数据处理单元,用于通过以下方式,生成第一签名请求消息:
15、生成第二随机数,根据所述第一安全因子、所述第二安全因子和所述第二随机数,生成第一签名子消息;对所述第一签名子消息和所述第一随机数进行拼接,得到第一签名请求消息。
16、在一些可能的实现方式中,所述第二数据处理单元,具体用于生成第三随机数,对所述第三随机数、所述第一签名子消息和所述第一证书信息进行拼接,得到第二证书信息。
17、在一些可能的实现方式中,所述第一数据处理单元,用于通过以下方式,生成第二签名请求消息:
18、生成第四随机数,根据所述第一安全因子、第二安全因子和所述第四随机数生成第二签名子消息;对所述第二签名子消息和所述第三随机数进行拼接,得到第二签名请求消息。
19、在一些可能的实现方式中,所述第一数据处理单元,用于通过以下方式,生成第四证书信息:
20、对所述第三证书信息与所述第二签名子消息进行拼接,得到第四证书信息。
21、在一些可能的实现方式中,所述第一数据处理单元,还用于对所述第二证书信息进行验证,具体用于所述第二证书信息验证通过,根据所述第二证书信息,向所述第一容器发送第二签名请求消息。
22、第二方面,本技术提供了一种身份认证方法,所述方法包括:
23、第一数据处理单元向第二数据处理单元发送第一连接请求消息;
24、第二数据处理单元根据第一连接请求消息,向第二容器发送第一签名请求消息;
25、所述第二容器根据第二私钥对所述第一签名请求消息进行签名,生成第一证书信息,并将第一证书信息返回给所述第二数据处理单元;
26、所述第二数据处理单元根据所述第一证书信息,生成第二证书信息,并将所述第二证书信息发送给所述第一数据处理单元;
27、所述第一数据处理单元根据所述第二证书信息,向第一容器发送第二签名请求消息;
28、所述第一容器根据第一私钥对第二签名请求消息进行签名,生成第三证书信息,并将所述第三证书信息返回给所述第一数据处理单元;
29、所述第一数据处理单元根据所述第三证书信息,向所述第二数据处理单元发送第四证书信息;
30、所述第二数据处理单元根据所述第四证书信息进行身份认证。
31、在一些可能的实现方式中,所述第一数据处理单元通过以下方式,生成第一连接请求消息:
32、生成第一安全因子、第二安全因子和第一随机数,对所述第一安全因子、所述第二安全因子和所述第一随机数进行拼接,得到第一连接请求消息。
33、在一些可能的实现方式中,所述第二数据处理单元通过以下方式,生成第一签名请求消息:
34、生成第二随机数,根据所述第一安全因子、所述第二安全因子和所述第二随机数,生成第一签名子消息;对所述第一签名子消息和所述第一随机数进行拼接,得到第一签名请求消息。
35、在一些可能的实现方式中,所述第二数据处理单元根据所述第一证书信息,生成第二证书信息,包括:
36、生成第三随机数,对所述第三随机数、所述第一签名子消息和所述第一证书信息进行拼接,得到第二证书信息。
37、在一些可能的实现方式中,所述第一数据处理单元通过以下方式,生成第二签名请求消息:
38、生成第四随机数,根据所述第一安全因子、第二安全因子和所述第四随机数生成第二签名子消息;对所述第二签名子消息和所述第三随机数进行拼接,得到第二签名请求消息。
39、在一些可能的实现方式中,所述第一数据处理单元通过以下方式,生成第四证书信息:
40、对所述第三证书信息与所述第二签名子消息进行拼接,得到第四证书信息。
41、在一些可能的实现方式中,所述方法还包括:
42、所述第一数据处理单元对所述第二证书信息进行验证,具体用于所述第二证书信息验证通过,根据所述第二证书信息,向所述第一容器发送第二签名请求消息。
43、第三方面,本技术提供了一种计算设备,包括存储器和处理器;
44、其中,在所述存储器中存储有一个或多个计算机程序,所述一个或多个计算机程序包括指令;当所述指令被所述处理器执行时,使得所述计算设备执行如第二方面中任一项所述的方法。
45、第四方面,本技术提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行如第二方面中任一项所述的方法。
46、由上述技术方案可知,本技术至少具有如下有益效果:
47、本技术中提供了一种身份认证系统,该系统包括第一数据处理单元、第二数据处理单元、第一容器和第二容器,该系统将密钥协商的大部分计算卸载到第一数据处理单元和第二数据处理单元,降低了主机的cpu开销,降低数据响应延迟,减少对整体应用的响应时间的影响。在该系统中,第一数据处理单元向第二数据处理单元发送第一连接请求消息,第二数据处理单元根据该第一连接请求消息,向第二容器发送第一签名请求消息,第二容器根据第二私钥对第一签名请求消息进行签名,生成第一证书信息,并将第一证书信息返回给第二数据处理单元,第二数据处理单元根据第一证书信息,生成第二证书信息,并将第二证书信息发送给第一数据处理单元,第一数据处理单元,根据第二证书信息,向第一容器发送第二签名请求消息,第一容器根据第一私钥对第二签名请求消息进行签名,生成第三证书信息,并将第三证书信息返回给第一数据处理单元,第一数据处理单元根据第三证书信息,向第二数据处理单元发送第四证书信息,第二数据处理单元,根据第四证书信息进行身份认证。在身份认证过程中,容器并没有将私钥发送给数据处理单元,从而进一步保证了安全性。因此,该方法能够不仅降低数据响应延迟,还能够提高安全性。
48、应当理解的是,本技术中对技术特征、技术方案、有益效果或类似语言的描述并不是暗示在任意的单个实施例中可以实现所有的特点和优点。相反,可以理解的是对于特征或有益效果的描述意味着在至少一个实施例中包括特定的技术特征、技术方案或有益效果。因此,本说明书中对于技术特征、技术方案或有益效果的描述并不一定是指相同的实施例。进而,还可以任何适当的方式组合本实施例中所描述的技术特征、技术方案和有益效果。本领域技术人员将会理解,无需特定实施例的一个或多个特定的技术特征、技术方案或有益效果即可实现实施例。在其他实施例中,还可在没有体现所有实施例的特定实施例中识别出额外的技术特征和有益效果。
1.一种身份认证系统,其特征在于,所述系统包括:第一数据处理单元、第二数据处理单元、第一容器和第二容器;
2.根据权利要求1所述的系统,其特征在于,所述第一数据处理单元,用于通过以下方式,生成第一连接请求消息:
3.根据权利要求2所述的系统,其特征在于,所述第二数据处理单元,用于通过以下方式,生成第一签名请求消息:
4.根据权利要求3所述的系统,其特征在于,所述第二数据处理单元,具体用于生成第三随机数,对所述第三随机数、所述第一签名子消息和所述第一证书信息进行拼接,得到第二证书信息。
5.根据权利要求4所述的系统,其特征在于,所述第一数据处理单元,用于通过以下方式,生成第二签名请求消息:
6.根据权利要求5所述的系统,其特征在于,所述第一数据处理单元,用于通过以下方式,生成第四证书信息:
7.根据权利要求1所述的系统,其特征在于,所述第一数据处理单元,还用于对所述第二证书信息进行验证,具体用于所述第二证书信息验证通过,根据所述第二证书信息,向所述第一容器发送第二签名请求消息。
8.一种身份认证方法,其特征在于,所述方法包括:
9.一种计算设备,其特征在于,包括存储器和处理器;
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行如权利要求8所述的方法。
