[发明专利]基于拟态构造的统一身份认证系统及认证方法

说明书

本发明涉及网络安全技术领域，公开一种基于拟态构造的统一身份认证系统及认证方法，该系统包括：分发器，裁决器，异构认证执行体及负反馈调度单元，所述分发器用于接收客户端的访问请求，进行预处理后按需同时分发给多个异构认证执行体；所述裁决器用于接收多个异构认证执行体的数据信息，进行智能裁决，并将裁决结果经合适处理后发送给访问客户端；所述异构认证执行体用于对客户端认证信息的统一认证，保障认证凭证的合法性和安全性；所述负反馈调度单元用于对分发器、裁决器、异构认证执行体的综合管理和智能调度。本发明提高了统一身份认证系统的安全性，可有效防御基于漏洞和后门的攻击。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于拟态构造的统一身份认证系统及认证方法。

背景技术

统一身份认证是通过统一管理不同应用体系身份存贮、统一认证的方式，相同用户在所有应用系统的身份一致。从结构上看，主要包含统一身份认证模块、统一身份认证服务器、身份信息存贮服务器三大部分。统一身份认证服务器向客户端应用程序提供统一的认证服务，它接受客户端程序传递过来的凭证，通过验证后把程序认证令牌返回给客户端程序，实现认证令牌在不同应用体系之间的切换。传统的统一身份认证方式一般是基于CAS或Oauth2的单点认证服务，通过CA证书保证身份不可抵赖，签名不可伪造，但是易于挟制植入计算机病毒和木马，造成认证系统的不安全。

发明内容

本发明针对传统的统一身份认证方式易于挟制植入计算机病毒和木马，造成认证系统的不安全的问题，提出一种基于拟态构造的统一身份认证系统及认证方法，具有内生安全的特性，可以有效抵御基于漏洞或后门的攻击，在目标对象给定服务功能和性能不变的前提下，扰乱攻击链的构造和生效过程，造成攻击代价成倍增长。

为了实现上述目的，本发明采用以下技术方案：

本发明一方面提出一种基于拟态构造的统一身份认证系统，包括：分发器，裁决器，异构认证执行体及负反馈调度单元；

所述分发器用于接收客户端访问请求，并将所述请求经预处理后同时分发至处于活跃状态下的所有异构认证执行体；还用于向负反馈调度单元汇报自身的状态及业务信息；

所述裁决器用于接收多个异构认证执行体的结果信息，进行信息的预处理，按请求来源对信息进行分类汇总；针对每一请求所收到的多个回应数据包进行智能裁决，并根据裁决结果构造出最合适的结果数据包；根据请求来源，将结果数据包发至访问的客户端；还用于将裁决结果及自身状态信息适时的通报至负反馈调度单元；

所述异构认证执行体用于从分发器接收客户端的访问请求信息，进行独立运算后将结果发送至裁决器；

所述负反馈调度单元用于接收分发器发来的状态信息和业务信息；接收裁决器发来的状态信息和裁决信息；接收各异构认证执行体发来的状态信息和业务负载信息；向分发器下发命令来控制和改变分发策略；向裁决器下发命令来控制和改变裁决策略；向异构认证执行体下发命令来实现异构认证执行体的清洗、上线、数据同步、重启操作。

进一步地，所述异构认证执行体为采用多层次异构的方式构造的统一认证服务平台，每一个异构认证执行体都是一个独立的统一身份认证服务平台，所述异构认证执行体的异构层次包括CPU架构、操作系统、Java虚拟机、应用层。

本发明另一方面提出一种基于拟态构造的统一身份认证方法，包括：

步骤a1：分发器接收用户请求信息，将其进行预处理后同时发送给多个活跃状态的异构认证执行体；同时，分发器按需向负反馈调度单元上报自身状态和业务信息；

步骤a2：异构认证执行体接收到分发器转发来的用户请求信息，进行相应的请求处理操作，并将处理结果发送至裁决器；同时，异构认证执行体按需向负反馈调度单元上报自身状态和负载信息；

步骤a3：裁决器接收到各异构认证执行体发来的处理结果信息，并根据请求来源及执行步骤将处理结果信息进行归类，对同一请求来源的多个处理结果信息进行一致性表决，并将表决后的结果信息重新封包处理后发送给用户；同时，裁决器按需向负反馈调度单元上报自身状态和裁决信息；