国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      分布式網(wǎng)絡(luò)的管理認(rèn)證的制作方法

      文檔序號(hào):7989425閱讀:159來(lái)源:國(guó)知局
      分布式網(wǎng)絡(luò)的管理認(rèn)證的制作方法
      【專利摘要】一種認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò)(10)包括:至少一個(gè)管理員用戶(12);多個(gè)下級(jí)用戶(14);以及訪問(wèn)控制裝置,該訪問(wèn)控制裝置適于允許管理員用戶控制一個(gè)或更多個(gè)下級(jí)用戶對(duì)認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò)的訪問(wèn),其中,認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò)被設(shè)置為在分布式網(wǎng)絡(luò)(100)上或分布式網(wǎng)絡(luò)(100)內(nèi)的重疊網(wǎng)。
      【專利說(shuō)明】分布式網(wǎng)絡(luò)的管理認(rèn)證
      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及對(duì)網(wǎng)絡(luò)上的用戶的認(rèn)證進(jìn)行管理的方法和設(shè)備。具體地但不排他地,本發(fā)明涉及控制用戶對(duì)對(duì)等、分散的或無(wú)服務(wù)器的網(wǎng)絡(luò)(下文中稱為分布式網(wǎng)絡(luò))的訪問(wèn)。
      【背景技術(shù)】
      [0002]計(jì)算機(jī)網(wǎng)絡(luò)可以根據(jù)在網(wǎng)絡(luò)的單元或節(jié)點(diǎn)之間存在的功能關(guān)系進(jìn)行分類。兩個(gè)主要的例子是客戶機(jī)-服務(wù)器模型和對(duì)等架構(gòu)??蛻魴C(jī)-服務(wù)器模型可以設(shè)置認(rèn)證網(wǎng)絡(luò),在該認(rèn)證網(wǎng)絡(luò)中一個(gè)或更多個(gè)用戶比其它網(wǎng)絡(luò)用戶的地位更高,并且控制其它網(wǎng)絡(luò)用戶。在對(duì)等網(wǎng)絡(luò)中,通常每個(gè)用戶可以同時(shí)作為客戶機(jī)和服務(wù)器二者,并且每個(gè)用戶都有相同的責(zé)任和地位。
      [0003]重疊網(wǎng)是建立在另一個(gè)網(wǎng)絡(luò)之上的虛擬計(jì)算機(jī)網(wǎng)絡(luò)。重疊網(wǎng)的節(jié)點(diǎn)由虛擬鏈路或邏輯鏈路連接,每一個(gè)鏈路都對(duì)應(yīng)于底層網(wǎng)絡(luò)中的路徑。
      [0004]分布式網(wǎng)絡(luò)相對(duì)于服務(wù)器-客戶機(jī)網(wǎng)絡(luò)有許多優(yōu)點(diǎn),例如為了安全和便于訪問(wèn)允許數(shù)據(jù)跨越多個(gè)位置分布。此外,在服務(wù)器-客戶機(jī)網(wǎng)絡(luò)中,當(dāng)同時(shí)向給定的服務(wù)器發(fā)出請(qǐng)求的客戶的數(shù)目增加時(shí),該服務(wù)器會(huì)變得過(guò)載。與此相反,當(dāng)節(jié)點(diǎn)增加時(shí),分布式網(wǎng)絡(luò)的聚合帶寬實(shí)際上增加了。此外,加入關(guān)鍵的服務(wù)器故障,不能滿足客戶的請(qǐng)求,然而在分布式網(wǎng)絡(luò)中資源通常分布在許多節(jié)點(diǎn)中。
      [0005]作為另一個(gè)例子,GB1021312.2公開(kāi)了一種可以在對(duì)等網(wǎng)絡(luò)上設(shè)置的分布式文件系統(tǒng)(DFS),DFS與在服務(wù)器-客戶機(jī)網(wǎng)絡(luò)上設(shè)置的常規(guī)的DFS相比具有許多優(yōu)點(diǎn)。
      [0006]然而,服務(wù)器-客戶機(jī)網(wǎng)絡(luò)仍然是優(yōu)選和最常用的,尤其是在企業(yè)環(huán)境下。這往往是由于在對(duì)用戶的認(rèn)證和保持控制上的感知優(yōu)勢(shì)。人們普遍認(rèn)為難以或者不可能對(duì)分布式網(wǎng)絡(luò)上的用戶進(jìn)行適當(dāng)?shù)恼J(rèn)證和控制。
      [0007]對(duì)用戶的認(rèn)證處理可以用于提供對(duì)網(wǎng)絡(luò)的訪問(wèn)。該訪問(wèn)可以在取決于由認(rèn)證處理確定的用戶或者節(jié)點(diǎn)的一定的級(jí)別或者權(quán)限設(shè)置下。通常由擁有或者管理認(rèn)證網(wǎng)絡(luò)的認(rèn)證第三方或者由相關(guān)資源例如服務(wù)器來(lái)授權(quán)訪問(wèn)。
      [0008]所有已知的對(duì)分布式的或者共享的服務(wù)的訪問(wèn)進(jìn)行授權(quán)的認(rèn)證方法都要求有服務(wù)器或者某種形式的認(rèn)證控制。服務(wù)器通常用作人們?cè)讷@得對(duì)網(wǎng)絡(luò)的訪問(wèn)之前連接的登錄實(shí)體。此外,已知的認(rèn)證方法通常要求通常在服務(wù)器上以列表或者類似形式存儲(chǔ)的任意用戶名或者密碼的容器,而它們易受攻擊。

      【發(fā)明內(nèi)容】

      [0009]期望提供提供認(rèn)證控制并且仍然具備分布式網(wǎng)絡(luò)的一個(gè)或者更多個(gè)優(yōu)點(diǎn)的網(wǎng)絡(luò)。期望提供用于對(duì)用戶對(duì)網(wǎng)絡(luò)例如分布式網(wǎng)絡(luò)的訪問(wèn)進(jìn)行管理的改進(jìn)的方法或者設(shè)備。期望提供不要求使用服務(wù)器或者存儲(chǔ)用戶身份數(shù)據(jù)的用于對(duì)用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)進(jìn)行管理的方法或者設(shè)備。
      [0010]在本說(shuō)明書中,單獨(dú)使用術(shù)語(yǔ)“密鑰”是相對(duì)于DHT (分布式哈希表)的“密鑰,值”對(duì)中的密鑰而使用的。加密的私有密鑰和公有密鑰將被稱為私有密鑰和公有密鑰。
      [0011]根據(jù)本發(fā)明提供有一種認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò),包括:
      [0012]至少一個(gè)管理員用戶;
      [0013]多個(gè)下級(jí)用戶;以及
      [0014]訪問(wèn)控制裝置,所述訪問(wèn)控制裝置適于允許所述管理員用戶控制一個(gè)或更多個(gè)下級(jí)用戶對(duì)所述認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò)的訪問(wèn),
      [0015]其中,所述認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò)被設(shè)置為在分布式網(wǎng)絡(luò)上或分布式網(wǎng)絡(luò)內(nèi)的重疊網(wǎng)。
      [0016]訪問(wèn)控制裝置可以包括對(duì)認(rèn)證網(wǎng)絡(luò)進(jìn)行訪問(wèn)所需要的用戶驗(yàn)證數(shù)據(jù)。用戶驗(yàn)證數(shù)據(jù)可以由管理員用戶生成并且能夠從管理員用戶向下級(jí)用戶傳送。
      [0017]生成的用戶驗(yàn)證數(shù)據(jù)可以由管理員用戶撤銷。生成的用戶驗(yàn)證數(shù)據(jù)可以通過(guò)管理員用戶刪除至少一部分用戶驗(yàn)證數(shù)據(jù)來(lái)撤銷。
      [0018]用戶驗(yàn)證數(shù)據(jù)可以包括分配給下級(jí)用戶的用戶標(biāo)識(shí)符和用戶名。用戶驗(yàn)證數(shù)據(jù)可以包括密碼。訪問(wèn)控制裝置可以配置為采用密鑰導(dǎo)出函數(shù)來(lái)加強(qiáng)密碼。
      [0019]訪問(wèn)控制裝置可以配置為從用戶標(biāo)識(shí)符和用戶名導(dǎo)出鹽值。訪問(wèn)控制裝置可以配置為使用用戶名和鹽值的連結(jié)(concatenation)來(lái)生成唯一標(biāo)識(shí)符。該連結(jié)可以被散列。
      [0020]訪問(wèn)控制裝置可以配置為生成用戶賬戶數(shù)據(jù)。用戶賬戶數(shù)據(jù)可以被加密。
      [0021]生成的用戶驗(yàn)證數(shù)據(jù)可以由管理員用戶進(jìn)行數(shù)字簽名。生成的用戶驗(yàn)證數(shù)據(jù)可以被認(rèn)證網(wǎng)絡(luò)外部的第三方聯(lián)合簽名。第三方可以包括系統(tǒng)提供商。
      [0022]用戶驗(yàn)證數(shù)據(jù)可以存儲(chǔ)在分布式網(wǎng)絡(luò)上。用戶驗(yàn)證數(shù)據(jù)可以存儲(chǔ)在認(rèn)證網(wǎng)絡(luò)上。
      [0023]用戶驗(yàn)證數(shù)據(jù)可以被加密。用戶驗(yàn)證數(shù)據(jù)可以是使用在管理員用戶和下級(jí)用戶之間共享的密鑰對(duì)進(jìn)行加密的。
      [0024]用戶驗(yàn)證數(shù)據(jù)也可以由認(rèn)證網(wǎng)絡(luò)外部的第三方例如系統(tǒng)提供商進(jìn)行聯(lián)合簽名。
      [0025]訪問(wèn)控制裝置可以配置為向下級(jí)用戶分配能夠公開(kāi)傳播的身份。
      [0026]訪問(wèn)控制裝置可以包括可選的用戶輸入裝置。可選的用戶輸入裝置可以包括用戶能夠訪問(wèn)的設(shè)備,例如手機(jī)。
      [0027]用戶標(biāo)識(shí)符可以對(duì)應(yīng)于移動(dòng)裝置的電話號(hào)碼或類似物。訪問(wèn)控制裝置可以適于當(dāng)用戶請(qǐng)求對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)向手機(jī)傳送消息。消息可以被加密。
      [0028]訪問(wèn)控制裝置可以適于從設(shè)備接收答復(fù)消息以對(duì)用戶進(jìn)行認(rèn)證。移動(dòng)裝置可以包括用于接收已發(fā)送的消息并且發(fā)送答復(fù)消息的應(yīng)用。
      [0029]認(rèn)證網(wǎng)絡(luò)可以配置為提供允許在網(wǎng)絡(luò)上存儲(chǔ)數(shù)據(jù)的分布式文件系統(tǒng),所述數(shù)據(jù)包括以層次結(jié)構(gòu)布置的多個(gè)目錄和文件。
      [0030]存儲(chǔ)的數(shù)據(jù)可以包括分布式文件系統(tǒng)的子目錄的數(shù)據(jù)。存儲(chǔ)的數(shù)據(jù)可以包括提供存儲(chǔ)的數(shù)據(jù)的至少一個(gè)位置的數(shù)據(jù)映射。
      [0031]訪問(wèn)控制裝置可以配置為向子目錄分配標(biāo)識(shí)符并且向子目錄的父目錄分配標(biāo)識(shí)符。數(shù)據(jù)映射可以使用子目錄標(biāo)識(shí)符和父目錄標(biāo)識(shí)符二者進(jìn)行加密。加密的數(shù)據(jù)映射可以使用至少部分的子目錄標(biāo)識(shí)符作為密鑰進(jìn)行存儲(chǔ)。
      [0032]使用子目錄標(biāo)識(shí)符和父目錄標(biāo)識(shí)符可以訪問(wèn)子目錄的存儲(chǔ)數(shù)據(jù)。子目錄的存儲(chǔ)數(shù)據(jù)可以包括使用子目錄標(biāo)識(shí)符和孫目錄標(biāo)識(shí)符可訪問(wèn)的一個(gè)或更多個(gè)孫目錄。
      [0033]存儲(chǔ)的數(shù)據(jù)可以包括提供孫目錄的存儲(chǔ)數(shù)據(jù)的至少一個(gè)位置的第二數(shù)據(jù)映射??梢越o孫目錄分配標(biāo)識(shí)符。第二數(shù)據(jù)映射可以使用子目錄標(biāo)識(shí)符和孫目錄標(biāo)識(shí)符二者進(jìn)行加密。加密的第二數(shù)據(jù)映射可以使用至少部分的孫目錄標(biāo)識(shí)符作為密鑰進(jìn)行存儲(chǔ)。孫目錄標(biāo)識(shí)符可以根據(jù)子目錄數(shù)據(jù)導(dǎo)出。
      [0034]認(rèn)證網(wǎng)絡(luò)可以配置為將要保存的至少一個(gè)數(shù)據(jù)元素分割成多個(gè)數(shù)據(jù)塊。可以將至少一個(gè)數(shù)據(jù)塊存儲(chǔ)在網(wǎng)絡(luò)上與其它數(shù)據(jù)塊不同的位置。每個(gè)數(shù)據(jù)塊在存儲(chǔ)到網(wǎng)絡(luò)上之前可以被加密。
      [0035]至少一個(gè)數(shù)據(jù)元素可以包括管理員用戶驗(yàn)證數(shù)據(jù)。管理員用戶驗(yàn)證數(shù)據(jù)的至少一個(gè)數(shù)據(jù)塊可以存儲(chǔ)在網(wǎng)絡(luò)上不同的位置,每個(gè)不同的位置可以對(duì)應(yīng)于特定的下級(jí)用戶。
      [0036]使用少于管理員用戶驗(yàn)證數(shù)據(jù)的全部數(shù)據(jù)塊的數(shù)據(jù)塊可以重構(gòu)管理員用戶驗(yàn)證數(shù)據(jù)。認(rèn)證網(wǎng)絡(luò)可以采用密鑰共享方案,使得特定數(shù)量的用戶可以重構(gòu)管理員用戶驗(yàn)證數(shù)據(jù)。
      【專利附圖】

      【附圖說(shuō)明】
      [0037]現(xiàn)在參考附圖,僅通過(guò)示例的方式對(duì)本發(fā)明的實(shí)施例進(jìn)行描述,在附圖中:
      [0038]圖1示出了分布式網(wǎng)絡(luò)和重疊的認(rèn)證網(wǎng)絡(luò);以及
      [0039]圖2示出了層次文件結(jié)構(gòu)的圖解表示。
      【具體實(shí)施方式】
      [0040]圖1示出了包括若干個(gè)節(jié)點(diǎn)102或者設(shè)備的分布式網(wǎng)絡(luò)100,例如對(duì)等網(wǎng)絡(luò)。根據(jù)分布式網(wǎng)絡(luò)100的協(xié)議,每一個(gè)節(jié)點(diǎn)102具有相同的責(zé)任和地位。
      [0041]重疊在分布式網(wǎng)絡(luò)100上的是包括管理員用戶12和若干個(gè)下級(jí)用戶14的認(rèn)證網(wǎng)絡(luò)10。在圖1中,分布式網(wǎng)絡(luò)100具有比認(rèn)證網(wǎng)絡(luò)10更多數(shù)量的用戶,但是用戶的數(shù)量可以是相等的。
      [0042]盡管管理員用戶12和每一個(gè)下級(jí)用戶14都是分布式網(wǎng)絡(luò)100的成員,并且在該網(wǎng)絡(luò)上具有相等的地位,但是管理員用戶12在認(rèn)證網(wǎng)絡(luò)10上具有更重要的作用和地位。
      [0043]具體地,認(rèn)證網(wǎng)絡(luò)10配置為給管理員用戶12提供允許管理員用戶12對(duì)下級(jí)用戶14對(duì)認(rèn)證網(wǎng)絡(luò)10的訪問(wèn)進(jìn)行控制的訪問(wèn)控制裝置。
      [0044]為了加入認(rèn)證網(wǎng)絡(luò)10,必須為新用戶創(chuàng)建賬戶,并且該賬戶創(chuàng)建處理自動(dòng)創(chuàng)建服從認(rèn)證網(wǎng)絡(luò)10的規(guī)則的新的下級(jí)用戶14。
      [0045]為了創(chuàng)建賬戶,首先給新用戶分配用戶標(biāo)識(shí)符。接著向用戶要求兩項(xiàng)輸入:用戶名和密碼。用戶名由系統(tǒng)選擇而不是由用戶選擇,并且用戶不能更改用戶名。該用戶名不是用于在網(wǎng)絡(luò)10上進(jìn)行傳播或者聯(lián)系其它用戶的名稱,而是選擇了另一個(gè)名稱來(lái)用于此用途。這里可以使用密鑰導(dǎo)出函數(shù)例如PBKDF2來(lái)加強(qiáng)任何使用的密碼密鑰。
      [0046]從用戶標(biāo)識(shí)符和用戶名或者單獨(dú)輸入可以導(dǎo)出鹽值(salt)。這個(gè)動(dòng)作以可重復(fù)的方式完成以使得管理員用戶12可以隨時(shí)重新創(chuàng)建鹽值。為了生成唯一標(biāo)識(shí)符,用戶名和鹽值的連結(jié)被散列。
      [0047]為了確保標(biāo)識(shí)符是唯一的,系統(tǒng)嘗試根據(jù)相當(dāng)于唯一標(biāo)識(shí)符的地址或者密鑰來(lái)檢索數(shù)據(jù)。如果該嘗試產(chǎn)生出“假(false)”結(jié)果,則該標(biāo)識(shí)符是唯一的。
      [0048]創(chuàng)建了賬戶數(shù)據(jù)并且該數(shù)據(jù)指明會(huì)話數(shù)據(jù),例如用戶詳細(xì)信息或者指向進(jìn)一步數(shù)據(jù)的索引。使用保存著隨機(jī)串的訪問(wèn)分組將該賬戶分組加密并且存儲(chǔ)在認(rèn)證網(wǎng)絡(luò)10上。訪問(wèn)分組被加密并且存儲(chǔ)在認(rèn)證網(wǎng)絡(luò)10上對(duì)應(yīng)于唯一標(biāo)識(shí)符的地址處??梢允褂霉芾韱T用戶12和下級(jí)用戶14之間共享的密鑰對(duì)進(jìn)行加密。
      [0049]當(dāng)用戶14希望登錄認(rèn)證網(wǎng)絡(luò)10時(shí),使用用戶名和鹽值將隨機(jī)串導(dǎo)出并且解密。然后,使用隨機(jī)串、用戶名和鹽值將賬戶分組導(dǎo)出并且解密。
      [0050]賬戶分組和訪問(wèn)分組形成對(duì)認(rèn)證網(wǎng)絡(luò)10進(jìn)行訪問(wèn)所需要的用戶驗(yàn)證數(shù)據(jù)。用戶驗(yàn)證數(shù)據(jù)由管理員用戶12生成并且向下級(jí)用戶14傳輸。用戶驗(yàn)證數(shù)據(jù)由保存了數(shù)據(jù)備份的管理員用戶12進(jìn)行簽名。這允許管理員用戶12定位用戶驗(yàn)證數(shù)據(jù),并且如果需要的話,能夠刪除該數(shù)據(jù)以撤銷對(duì)認(rèn)證網(wǎng)絡(luò)10的訪問(wèn)。
      [0051]用戶驗(yàn)證數(shù)據(jù)也可以由認(rèn)證網(wǎng)絡(luò)外部的第三方例如軟件供應(yīng)商進(jìn)行聯(lián)合簽名。
      [0052]在注銷的過(guò)程中,生成新的隨機(jī)串,并且在刪除舊的賬戶分組的同時(shí)使用新的隨機(jī)串存儲(chǔ)新的賬戶分組。此外,使用新的隨機(jī)串刪除訪問(wèn)分組。
      [0053]為了創(chuàng)建可公開(kāi)傳播的身份,管理員用戶12可以為下級(jí)用戶14創(chuàng)建密鑰對(duì)。由管理員的私有密鑰簽名的公有密鑰的散列存儲(chǔ)在網(wǎng)絡(luò)10上。這也是用戶14的標(biāo)識(shí)符。管理員用戶12創(chuàng)建可傳播的身份(例如UserOOrg),并且由管理員的私有密鑰簽名的散列存儲(chǔ)在網(wǎng)絡(luò)10上。這是下級(jí)用戶14的聯(lián)系地址并且可由管理員用戶12撤銷。
      [0054]當(dāng)有來(lái)自可傳播的身份的任何通信時(shí),可以檢查存儲(chǔ)的信息以確保標(biāo)識(shí)符仍然有效。
      [0055]訪問(wèn)控制裝置可以包括可選的用戶輸入裝置。這是為了對(duì)抗例如使用按鍵記錄器、肩窺攻擊或類似手段進(jìn)行未經(jīng)授權(quán)的檢測(cè)或者對(duì)用戶輸入的內(nèi)容例如用戶名和密碼的盜竊行為??蛇x的用戶輸入裝置可以包括移動(dòng)裝置,例如手機(jī)。用戶標(biāo)識(shí)符或者可傳播的身份可以映射到手機(jī)的電話號(hào)碼。
      [0056]訪問(wèn)控制裝置可以在用戶請(qǐng)求對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)向移動(dòng)裝置傳送加密的消息。移動(dòng)裝置可以包括用于接收已發(fā)送消息并且發(fā)送答復(fù)消息的應(yīng)用。答復(fù)消息對(duì)用戶進(jìn)行認(rèn)證。因此,使用用戶所擁有的(手機(jī))以及用戶所知道的(用戶名/密碼),對(duì)用戶進(jìn)行驗(yàn)證。
      [0057]通過(guò)引用合并到本文中的GB1021312.2公開(kāi)了可以設(shè)置在對(duì)等網(wǎng)絡(luò)上的分布式文件系統(tǒng)(DFS)。本發(fā)明的認(rèn)證網(wǎng)絡(luò)10可以配置為設(shè)置重疊在分布式網(wǎng)絡(luò)100上以允許在認(rèn)證網(wǎng)絡(luò)10上存儲(chǔ)數(shù)據(jù)的DFS (或者可以配置為在分布式網(wǎng)絡(luò)100上設(shè)置數(shù)據(jù)存儲(chǔ))。
      [0058]存儲(chǔ)的數(shù)據(jù)可以包括以常規(guī)的層次結(jié)構(gòu)30布置的目錄和文件。管理員用戶12可以創(chuàng)建根目錄或者父目錄32。對(duì)于一個(gè)或更多個(gè)下級(jí)用戶14可用的數(shù)據(jù)可以包括DFS的一個(gè)或更多個(gè)子目錄34 (或者孫目錄36等)的數(shù)據(jù)。數(shù)據(jù)包括提供存儲(chǔ)數(shù)據(jù)的位置的數(shù)據(jù)映射。該根目錄或者父目錄可以是對(duì)于下級(jí)用戶不可改變的。
      [0059]另外,管理人員可以已經(jīng)創(chuàng)建了允許管理人員向其中添加用戶不能改變的信息的下級(jí)用戶只讀目錄。
      [0060]訪問(wèn)控制裝置給子目錄34分配標(biāo)識(shí)符并且給子目錄34的父目錄32分配標(biāo)識(shí)符。使用子目錄標(biāo)識(shí)符和父目錄標(biāo)識(shí)符二者對(duì)數(shù)據(jù)映射進(jìn)行加密,然后使用部分的子目錄標(biāo)識(shí)符作為密鑰對(duì)數(shù)據(jù)映射進(jìn)行存儲(chǔ)。
      [0061]對(duì)數(shù)據(jù)映射的解密以及因此對(duì)子目錄32中的存儲(chǔ)數(shù)據(jù)進(jìn)行訪問(wèn),因此需要子目錄標(biāo)識(shí)符和父目錄標(biāo)識(shí)符二者。然而,不能夠從數(shù)據(jù)映射或者存儲(chǔ)數(shù)據(jù)中導(dǎo)出父目錄標(biāo)識(shí)符。此外,只使用子目錄標(biāo)識(shí)符和父目錄標(biāo)識(shí)符不能對(duì)父目錄32的存儲(chǔ)數(shù)據(jù)進(jìn)行訪問(wèn)。
      [0062]使用子目錄標(biāo)識(shí)符和父目錄標(biāo)識(shí)符可以訪問(wèn)子目錄34的存儲(chǔ)數(shù)據(jù)。類似地,子目錄34的存儲(chǔ)數(shù)據(jù)可以包括配置為使用子目錄標(biāo)識(shí)符和孫目錄標(biāo)識(shí)符可以訪問(wèn)的一個(gè)或更多個(gè)孫目錄36。
      [0063]第二數(shù)據(jù)映射提供孫目錄的存儲(chǔ)數(shù)據(jù)的位置。向?qū)O目錄36分配標(biāo)識(shí)符,并且使用子目錄標(biāo)識(shí)符和孫目錄標(biāo)識(shí)符二者對(duì)第二數(shù)據(jù)映射進(jìn)行加密。使用孫目錄標(biāo)識(shí)符作為密鑰對(duì)加密的第二數(shù)據(jù)映射進(jìn)行存儲(chǔ)??梢詮淖幽夸洈?shù)據(jù)中導(dǎo)出孫目錄標(biāo)識(shí)符。
      [0064]因此,下級(jí)用戶14可以使用子目錄標(biāo)識(shí)符和父目錄標(biāo)識(shí)符訪問(wèn)任何孫目錄36的數(shù)據(jù)。的確,下級(jí)用戶14可以使用子目錄標(biāo)識(shí)符和父目錄標(biāo)識(shí)符訪問(wèn)存儲(chǔ)的目錄以及下級(jí)目錄的多層以及子目錄34下的關(guān)聯(lián)數(shù)據(jù)。下級(jí)用戶14可以向下或者向上穿越這些層但是不能訪問(wèn)子目錄34之上的層。
      [0065]因此,管理員用戶12具有對(duì)DFS的認(rèn)證控制,并且只有這個(gè)用戶12可以訪問(wèn)包括父目錄32的全部層。下級(jí)用戶14可以創(chuàng)建新的下級(jí)目錄和/或添加文件,但是管理員用戶12總是可以訪問(wèn)這些新的下級(jí)目錄和文件。
      [0066]要存儲(chǔ)的數(shù)據(jù)元素可以被分割成各種數(shù)據(jù)塊。這些數(shù)據(jù)塊可以被加密,然后被存儲(chǔ)在網(wǎng)絡(luò)10的不同的位置處。
      [0067]這些數(shù)據(jù)元素中的至少一個(gè)數(shù)據(jù)元素可以包括管理員用戶的驗(yàn)證數(shù)據(jù)。管理員用戶驗(yàn)證數(shù)據(jù)的不同的數(shù)據(jù)塊可以存儲(chǔ)在網(wǎng)絡(luò)10的不同的位置處,每一個(gè)不同的位置對(duì)應(yīng)于特定的下級(jí)用戶14。
      [0068]由于管理員用戶12具有廣泛的控制并且沒(méi)有與之等同的其它用戶,因此可以提供保護(hù)措施作為備份??梢允褂妹荑€共享方案例如沙米爾方案(Shamir’s scheme)。管理員用戶12可以選擇若干個(gè)可信的下級(jí)用戶14 (例如在企業(yè)組織里地位高的人)并且與這些用戶中的每一個(gè)用戶共享管理員用戶驗(yàn)證數(shù)據(jù)的數(shù)據(jù)塊。如果必要的話,可以使用少于全部的例如大多數(shù)共享的數(shù)據(jù)塊來(lái)重構(gòu)管理員用戶驗(yàn)證數(shù)據(jù)。
      [0069]上述實(shí)施例提供重疊在分布式網(wǎng)絡(luò)100上并且提供訪問(wèn)控制允許管理員用戶控制由下級(jí)用戶14對(duì)認(rèn)證網(wǎng)絡(luò)10的訪問(wèn)的認(rèn)證網(wǎng)絡(luò)10。
      [0070]在另一個(gè)實(shí)施例中,認(rèn)證網(wǎng)絡(luò)10可以配置為生成回退賬戶分組或者用戶驗(yàn)證數(shù)據(jù)。由于對(duì)于任何系統(tǒng),賬戶數(shù)據(jù)的序列化和存儲(chǔ)操作都可能失敗,導(dǎo)致檢索時(shí)的不可讀的數(shù)據(jù)。這會(huì)影響對(duì)系統(tǒng)上的用戶數(shù)據(jù)的訪問(wèn)。為了減少這個(gè)風(fēng)險(xiǎn),可以保存用戶驗(yàn)證數(shù)據(jù)的回退備份以能夠在當(dāng)前版本不能被存儲(chǔ)或者被錯(cuò)誤地生成的情況下恢復(fù)至前一個(gè)版本。如同主訪問(wèn)分組一樣,回退訪問(wèn)分組可以包含可以被加密的隨機(jī)串。
      [0071]如前所述,為了確保標(biāo)識(shí)符是唯一的,系統(tǒng)嘗試根據(jù)相當(dāng)于唯一標(biāo)識(shí)符的地址或者密鑰檢索數(shù)據(jù)。如果該嘗試產(chǎn)生出“假(false)”結(jié)果,則該標(biāo)識(shí)符是唯一的。對(duì)回退訪問(wèn)分組做相同的檢查。生成了隨機(jī)串并且制成了回退備份。
      [0072]初始地,訪問(wèn)分組中的隨機(jī)串是相同的,因此指向相同的(唯一的)賬戶分組。只有當(dāng)更新賬戶分組時(shí)才保存回退分組。
      [0073]在登錄時(shí),如果可以檢索到賬戶分組,則使用與之前相同的處理。如果檢索嘗試失敗,則使用回退分組。
      [0074]在注銷時(shí),使用新的隨機(jī)串對(duì)訪問(wèn)分組進(jìn)行更新,并且使用舊的隨機(jī)串對(duì)回退訪問(wèn)分組進(jìn)行更新。然后,使用新的隨機(jī)串更新賬戶分組,并且刪除舊的賬戶分組。
      [0075]不更新之前的賬戶分組。而是將回退訪問(wèn)分組重新定向到之前的賬戶分組并且將正常的訪問(wèn)分組定向到新賬戶分組。刪除之前的回退賬戶分組。這阻止了對(duì)解密訪問(wèn)分組的慢強(qiáng)力攻擊,因?yàn)榈鹊娇梢垣@得明文隨機(jī)串的時(shí)候,該隨機(jī)串是作廢的。
      [0076]雖然在上文中對(duì)本發(fā)明的特定實(shí)施例進(jìn)行了描述,但是要理解的是偏離所述實(shí)施例仍然可以落入本發(fā)明的范圍內(nèi)。
      【權(quán)利要求】
      1.一種認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò),包括: 至少一個(gè)管理員用戶; 多個(gè)下級(jí)用戶;以及 訪問(wèn)控制裝置,所述訪問(wèn)控制裝置適于允許所述管理員用戶控制一個(gè)或更多個(gè)下級(jí)用戶對(duì)所述認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò)的訪問(wèn), 其中,所述認(rèn)證計(jì)算機(jī)網(wǎng)絡(luò)被設(shè)置為在分布式網(wǎng)絡(luò)上或分布式網(wǎng)絡(luò)內(nèi)的重疊網(wǎng)。
      2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置包括對(duì)所述認(rèn)證網(wǎng)絡(luò)進(jìn)行訪問(wèn)所需要的用戶驗(yàn)證數(shù)據(jù)。
      3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)能夠由所述管理員用戶生成并且能夠從所述管理員用戶向所述下級(jí)用戶傳送。
      4.根據(jù)權(quán)利要求2或3所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)能夠由所述管理員用戶撤銷。
      5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)能夠通過(guò)所述管理員用戶刪除至少一部分所述用戶驗(yàn)證數(shù)據(jù)來(lái)撤銷。
      6.根據(jù)權(quán)利要求2至5中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)包括分配給所述下級(jí)用戶的用戶標(biāo)識(shí)符和用戶名。
      7.根據(jù)權(quán)利要求2至6中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)包括密碼,并且其中,所述訪問(wèn)控制裝置配置 為采用密鑰導(dǎo)出函數(shù)來(lái)加強(qiáng)所述密碼。
      8.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置配置為從所述用戶標(biāo)識(shí)符和所述用戶名導(dǎo)出鹽值。
      9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置配置為使用所述用戶名和所述鹽值的組合來(lái)生成唯一標(biāo)識(shí)符。
      10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò),其中,所述組合被散列。
      11.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置配置為生成用戶賬戶數(shù)據(jù)。
      12.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò),其中,所述用戶賬戶數(shù)據(jù)被加密。
      13.根據(jù)權(quán)利要求11或12所述的網(wǎng)絡(luò),其中,所述用戶賬戶數(shù)據(jù)被擾亂。
      14.根據(jù)權(quán)利要求2至13中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)被所述管理員用戶數(shù)字簽名。
      15.根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)被所述認(rèn)證網(wǎng)絡(luò)外部的第三方聯(lián)合簽名。
      16.根據(jù)權(quán)利要求2至15中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)能夠存儲(chǔ)在所述分布式網(wǎng)絡(luò)上。
      17.根據(jù)權(quán)利要求2至15中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)能夠存儲(chǔ)在所述認(rèn)證網(wǎng)絡(luò)上。
      18.根據(jù)權(quán)利要求2至17中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)被加密。
      19.根據(jù)權(quán)利要求18所述的網(wǎng)絡(luò),其中,所述用戶驗(yàn)證數(shù)據(jù)是使用在所述管理員用戶和所述下級(jí)用戶之間共享的密鑰對(duì)進(jìn)行加密的。
      20.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置配置為向所述下級(jí)用戶分配能夠公開(kāi)傳播的身份。
      21.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置包括可選的用戶輸入裝置。
      22.根據(jù)權(quán)利要求21所述的網(wǎng)絡(luò),其中,所述可選的用戶輸入裝置包括所述用戶能夠訪問(wèn)的附加設(shè)備。
      23.根據(jù)權(quán)利要求22所述的網(wǎng)絡(luò),其中,所述用戶標(biāo)識(shí)符對(duì)應(yīng)于所述設(shè)備的唯一標(biāo)識(shí)符。
      24.根據(jù)權(quán)利要求22或23所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置適于當(dāng)所述用戶請(qǐng)求對(duì)所述網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)向所述設(shè)備傳送消息。
      25.根據(jù)權(quán)利要求24所述的網(wǎng)絡(luò),其中,所述消息被加密。
      26.根據(jù)權(quán)利要求24或25所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置適于從所述設(shè)備接收答復(fù)消息以對(duì)所述用戶進(jìn)行認(rèn)證。
      27.根據(jù)權(quán)利要求26所述的網(wǎng)絡(luò),其中,所述設(shè)備包括用于接收已發(fā)送的消息并且發(fā)送所述答復(fù)消息的應(yīng)用。
      28.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述認(rèn)證網(wǎng)絡(luò)配置為提供允許在網(wǎng)絡(luò)上存儲(chǔ)數(shù)據(jù)的分布式文件系統(tǒng),所述數(shù)據(jù)包括以層次結(jié)構(gòu)布置的多個(gè)目錄和文件。
      29.根據(jù)權(quán)利要求28所述的網(wǎng)絡(luò),其中,所存儲(chǔ)的數(shù)據(jù)包括所述分布式文件系統(tǒng)的子目錄的數(shù)據(jù)。`
      30.根據(jù)權(quán)利要求28或29所述的網(wǎng)絡(luò),其中,所存儲(chǔ)的數(shù)據(jù)包括提供所存儲(chǔ)的數(shù)據(jù)的至少一個(gè)位置的數(shù)據(jù)映射。
      31.根據(jù)權(quán)利要求29或30所述的網(wǎng)絡(luò),其中,所述訪問(wèn)控制裝置配置為向所述子目錄分配標(biāo)識(shí)符并且向所述子目錄的父目錄分配標(biāo)識(shí)符。
      32.根據(jù)權(quán)利要求31所述的網(wǎng)絡(luò),其中,所述數(shù)據(jù)映射是使用所述子目錄標(biāo)識(shí)符和所述父目錄標(biāo)識(shí)符二者進(jìn)行加密的。
      33.根據(jù)權(quán)利要求32所述的網(wǎng)絡(luò),其中,所加密的數(shù)據(jù)映射是使用至少部分的所述子目錄標(biāo)識(shí)符作為密鑰來(lái)存儲(chǔ)的。
      34.根據(jù)權(quán)利要求31至33中任一項(xiàng)所述的網(wǎng)絡(luò),其中,使用所述子目錄標(biāo)識(shí)符和所述父目錄標(biāo)識(shí)符能夠訪問(wèn)所述子目錄的所存儲(chǔ)的數(shù)據(jù)。
      35.根據(jù)權(quán)利要求31至34中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述子目錄的所存儲(chǔ)的數(shù)據(jù)包括使用所述子目錄標(biāo)識(shí)符和孫目錄標(biāo)識(shí)符能夠訪問(wèn)的一個(gè)或更多個(gè)孫目錄。
      36.根據(jù)權(quán)利要求31至35中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所存儲(chǔ)的數(shù)據(jù)包括提供所述孫目錄的所存儲(chǔ)的數(shù)據(jù)的所述至少一個(gè)位置的第二數(shù)據(jù)映射。
      37.根據(jù)權(quán)利要求36所述的網(wǎng)絡(luò),其中,向所述孫目錄分配標(biāo)識(shí)符,并且其中,所述第二數(shù)據(jù)映射是使用所述子目錄標(biāo)識(shí)符和所述孫目錄標(biāo)識(shí)符二者進(jìn)行加密的。
      38.根據(jù)權(quán)利要求37所述的網(wǎng)絡(luò),其中,所加密的第二數(shù)據(jù)映射是使用至少部分的所述孫目錄標(biāo)識(shí)符作為所述密鑰來(lái)存儲(chǔ)的。
      39.根據(jù)權(quán)利要求37或38所述的網(wǎng)絡(luò),其中,所述孫目錄標(biāo)識(shí)符能夠從子目錄數(shù)據(jù)導(dǎo)出。
      40.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述認(rèn)證網(wǎng)絡(luò)配置為將要存儲(chǔ)的至少一個(gè)數(shù)據(jù)元素分割成多個(gè)數(shù)據(jù)塊。
      41.根據(jù)權(quán)利要求40所述的網(wǎng)絡(luò),其中,至少一個(gè)數(shù)據(jù)塊存儲(chǔ)在所述網(wǎng)絡(luò)上的與其它所述數(shù)據(jù)塊不同的位置處。
      42.根據(jù)權(quán)利要求40或41所述的網(wǎng)絡(luò),其中,每個(gè)數(shù)據(jù)塊在存儲(chǔ)到所述網(wǎng)絡(luò)上之前被加密。
      43.根據(jù)權(quán)利要求40至42中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述至少一個(gè)數(shù)據(jù)元素包括所述管理員用戶驗(yàn)證數(shù)據(jù)。
      44.根據(jù)權(quán)利要求43所述的網(wǎng)絡(luò),其中,所述管理員用戶驗(yàn)證數(shù)據(jù)的至少一個(gè)數(shù)據(jù)塊存儲(chǔ)在所述網(wǎng)絡(luò)上的不同位置處,每個(gè)所述不同位置對(duì)應(yīng)于特定的下級(jí)用戶。
      45.根據(jù)權(quán)利要求44所述的網(wǎng)絡(luò),其中,使用少于所述管理員用戶驗(yàn)證數(shù)據(jù)的全部數(shù)據(jù)塊的數(shù)據(jù)塊能夠重構(gòu)所述管理員用戶驗(yàn)證數(shù)據(jù)。
      46.根據(jù)權(quán)利要求45所述的網(wǎng)絡(luò),其中,所述認(rèn)證網(wǎng)絡(luò)采用密鑰共享方案,使得特定數(shù)量的用戶能夠重構(gòu)所述管理員用戶驗(yàn)證數(shù)據(jù)。
      【文檔編號(hào)】H04L29/06GK103535007SQ201280016443
      【公開(kāi)日】2014年1月22日 申請(qǐng)日期:2012年3月29日 優(yōu)先權(quán)日:2011年3月29日
      【發(fā)明者】大衛(wèi)·歐文 申請(qǐng)人:希格默伊德解決方案有限公司
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1