CN111010396A - 一种互联网身份认证管理方法 - Google Patents
一种互联网身份认证管理方法 Download PDFInfo
- Publication number
- CN111010396A CN111010396A CN201911306786.9A CN201911306786A CN111010396A CN 111010396 A CN111010396 A CN 111010396A CN 201911306786 A CN201911306786 A CN 201911306786A CN 111010396 A CN111010396 A CN 111010396A
- Authority
- CN
- China
- Prior art keywords
- user
- gateway
- request
- authentication
- identity authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种互联网身份认证管理方法,本方案主要是将身份验证、权限控制、Redis缓存和网关插件综合起来,进行运用。本方案实现身份验证,主要是通过密码加密和二次验证两种方式保障用户信息的安全;通过有效期、场景分类、权限大小的aksk,保证不同人群调用时,数据权限访问范围,最大程度保证数据的安全性和泄露时的影响范围。
Description
技术领域
本发明涉及互联网用户身份认证方法的技术领域。
背景技术
随着互联网的普及,各个领域的线上系统越来越多。互联网用户的规模持续增长,在错综复杂的环境里,有效快速的管理系统用户,进行有效的身份认证,保障用户安全是所有系统要解决的首要问题。如何将多平台用户统一管理、支持用户多种方式进行身份认证,给用户带来便捷、安全的线上使用体验,是各个企业关注的重点。在云环境下,服务访问可能会存在跨域的问题,每个服务的身份认证方式可能不一样,若不统一管理,可能存在不兼容的情况,提出一个身份联合,单点登录后,信任域里数据访问是企业要考虑的问题。
现在最普遍的身份认证方式是通过口令进行身份认证。通过唯一的用户标识(如用户名或用户ID)加用户密码传输给系统认证服务器,进行口令认证。
另外一种认证方式是aksk(AccessKey和secretKey),相当于登录密码,只是他们使用在调用各个服务的API,用他们构造API访问操作资源。
权限控制,一个账号可以创建身份、子用户、用户组,可以分角色分组或直接给子用户授权,对用户或身份分配不同范围的权限。使用于企业下的权限分配管理、跨账号的资源访问、动态身份管理等。
现有的身份认证存在如下缺陷:1.口令认证存在安全隐患,用户可能存在遗忘密码、在网络传输的过程中被他人窃取并暴力破解。2.aksk已经成为各个服务调用的身份认证方式,提高身份认证速度,且保证aksk的安全,服务调用时不会跨权使用,将aksk集中化统一管理并增加不同的权限使用范围、实现不同期限范围是本专利强调的地方。
发明内容
本发明的互联网身份认证管理方法,通过密码加密和二次验证两种方式保障用户信息的安全;通过有效期、场景分类、权限大小的aksk,保证不同人群调用时,数据权限访问范围,最大程度保证数据的安全性和泄露时的影响范围。
一种身份认证管理方法,结合SpringBoot框架、mysql数据库,以Kong进行身份认证、权限控制和请求转发,并建立Redis缓存。
口令身份认证方式:
用户访问并登陆系统时,请求会先传到网关上;网关根据用户的请求进行处理;网关设置有黑白名单,进行拦截或放行处理;识别为登录操作时,进行请求转发;认证服务先对用户的需求判断是否需要二次认证,若需要,则对手机验证码进行验证;再用户输入的信息和用户服务的用户信息进行身份一致性判断,认证通过时,将令牌token-userInfo按照会过期的形式存储到Redis上,并将返回信息传输给网关,再返回给用户;
当用户进行登录后的任意操作时,用户的请求会在网关进行拦截,进行令牌token的正确性的校验,网关将请求转发给认证服务进行令牌验证,服务鉴别到正确的令牌时,会对令牌的有效期进行延长;若用户有注销请求时,删除该令牌的存储,以后该令牌的任意访问,都会被网关拦截;
若遇到跨域的服务请求时,网关先进行令牌的正确性验证,若验证通过,网关会通过JWT的key和秘钥和跨域请求路径进行服务请求,跨域网关鉴别是内部访问时,会将相关调用转发到具体的微服务上进行请求访问。
Aksk服务认证方式:
账户登录后,按照不同需求创建不同类别和不同权限的aksk;不同权限的aksk,是在创建子用户后,设置该子用户为编程或者API访问,这种情况会生成一个子用户的aksk,权限与该子用户所拥有的权限一致;Aksk进行Redis存储。
通过以上叙述方案实现的身份认证系统,可以做到
1、口令登录最大程度上保证用户信息的安全性:不可逆加密算法,数据库密码加密存储,保证用户身份的安全性,只能本人操作;
2、按照用户对账户不同等级的安全需求,用户可以开启并进行身份二次验证。这样用户登录时,会需要手机验证码校验,即使他人获得了用户的账户ID和不加密密码,也不能进行登录操作。
3、实现单点登录,网关进行身份验证和请求转发,简化了用户的操作,提高用户体验。
4、Aksk身份验证方式,按照用户需求,可以根据不同场景、不同权限范围生成aksk,方便了账户的权限控制、信息安全保障。
5、Aksk身份验证方式,支持生成有期限的aksk,可以给用户在临时平台或者跨账号的临时访问,最大程度上保障用户的使用安全体验。
6、Aksk身份验证,支持跨账号的API或其他开发工具的访问请求,若有其他云数据等需要数据统一管理或者其他场景使用需求,保障数据正确范围,友好化用户体验。
具体实施方式
本方案是以Kong进行身份认证、权限控制和请求转发,结合SpringBoot框架、Redis缓存、mysql数据库进行设计,实现的微服务系统。
口令身份认证方式:
用户访问并登陆系统时,请求会先传到网关上。网关根据用户的不同请求进行不同处理。网关设置有黑白名单,进行不同的拦截和放行处理。识别为登录操作时,进行请求转发;认证服务先对用户的需求判断是否需要二次认证,若需要,则对手机验证码进行验证。再用户输入的信息和用户服务的用户信息进行身份一致性判断,认证通过时,将令牌(token)-userInfo按照会过期的形式存储到Redis上,并将返回信息传输给网关,再返回给用户。
当用户进行登录后的任意操作时,用户的请求会在网关进行拦截,进行token的正确性的校验,网关将请求转发给认证服务进行令牌验证,服务鉴别到正确的令牌时,会对令牌的有效期进行延长。若用户有注销请求时,删除该令牌的存储,以后该令牌的任意访问,都会被网关拦截。
若遇到跨域的服务请求时,网关先进行令牌的正确性验证,若验证通过,网关会通过JWT的key和秘钥和跨域请求路径进行服务请求,跨域网关鉴别是内部访问时,会将相关调用转发到具体的微服务上进行请求访问。
Aksk服务认证方式:
账户登录后,按照不同需求可以创建不同类别和不同权限的aksk。比如oss类别的aksk,可以对对象存储的所有API进行访问;不同权限的aksk,是在创建子用户后,设置该子用户可以编程或者API访问,这种情况会生成一个子用户的aksk。权限与该子用户所拥有的权限一致。Aksk进行Redis存储,信息变更刷新缓存,降低时延,提高数据返回速度。
不同使用场景使用不同的aksk,保障了数据和访问的安全性,适用于企业下底层用户的数据访问。若遇到不同平台临时使用或者跨账号的一次资源访问,可以创建有时间限制的aksk(如有效期为一天),可以动态身份验证,进一步的保障了数据的安全。
每个身份认证互不影响,可以独立运行。与其他服务进行解耦。网关进行身份验证,服务互相调用时,进行服务信任,简化了服务调用流程,可以提升服务的效率。多种身份认证使用户根据不同的需求有不同的选择,更加灵活。
本方案主要是将身份验证、权限控制、Redis缓存和网关插件综合起来,进行运用。更多的是综合使用的一种方法,暂无其他替代方案。本方案实现身份验证,主要是通过密码加密和二次验证两种方式保障用户信息的安全;通过有效期、场景分类、权限大小的aksk,保证不同人群调用时,数据权限访问范围,最大程度保证数据的安全性和泄露时的影响范围。
Claims (3)
1.一种互联网身份认证管理方法,其特征在于:结合SpringBoot框架、mysql数据库,以Kong进行身份认证、权限控制和请求转发,并建立Redis缓存。
2.根据权利要求1所述的互联网身份认证管理方法,其特征在于上述身份认证方式为口令身份认证方式:
用户访问并登陆系统时,请求会先传到网关上;网关根据用户的请求进行处理;网关设置有黑白名单,进行拦截或放行处理;识别为登录操作时,进行请求转发;认证服务先对用户的需求判断是否需要二次认证,若需要,则对手机验证码进行验证;再用户输入的信息和用户服务的用户信息进行身份一致性判断,认证通过时,将令牌token-userInfo按照会过期的形式存储到Redis上,并将返回信息传输给网关,再返回给用户;
当用户进行登录后的任意操作时,用户的请求会在网关进行拦截,进行令牌token的正确性的校验,网关将请求转发给认证服务进行令牌验证,服务鉴别到正确的令牌时,会对令牌的有效期进行延长;若用户有注销请求时,删除该令牌的存储,以后该令牌的任意访问,都会被网关拦截;
若遇到跨域的服务请求时,网关先进行令牌的正确性验证,若验证通过,网关会通过JWT的key和秘钥和跨域请求路径进行服务请求,跨域网关鉴别是内部访问时,会将相关调用转发到具体的微服务上进行请求访问。
3.根据权利要求1所述的互联网身份认证管理方法,其特征在于上述身份认证方式为Aksk服务认证方式:
账户登录后,按照不同需求创建不同类别和不同权限的aksk;不同权限的aksk,是在创建子用户后,设置该子用户为编程或者API访问,这种情况会生成一个子用户的aksk,权限与该子用户所拥有的权限一致;Aksk进行Redis存储。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911306786.9A CN111010396A (zh) | 2019-12-17 | 2019-12-17 | 一种互联网身份认证管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911306786.9A CN111010396A (zh) | 2019-12-17 | 2019-12-17 | 一种互联网身份认证管理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111010396A true CN111010396A (zh) | 2020-04-14 |
Family
ID=70116467
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911306786.9A Pending CN111010396A (zh) | 2019-12-17 | 2019-12-17 | 一种互联网身份认证管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111010396A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112818325A (zh) * | 2021-01-30 | 2021-05-18 | 浪潮云信息技术股份公司 | 一种基于应用实现api网关独立鉴权的方法 |
CN113259386A (zh) * | 2021-06-21 | 2021-08-13 | 易纳购科技(北京)有限公司 | 恶意请求拦截方法、装置及计算机设备 |
CN115086048A (zh) * | 2022-06-20 | 2022-09-20 | 中电金信软件有限公司 | 数据处理方法、装置、电子设备及可读存储介质 |
CN115374415A (zh) * | 2022-10-24 | 2022-11-22 | 中教云智数字科技有限公司 | 一种基于SpringBoot的轻量级权限认证方法及框架 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562621A (zh) * | 2009-05-25 | 2009-10-21 | 阿里巴巴集团控股有限公司 | 一种用户授权的方法、系统和装置 |
CN108924125A (zh) * | 2018-06-29 | 2018-11-30 | 招银云创(深圳)信息技术有限公司 | 接口调用权限的控制方法、装置、计算机设备和存储介质 |
CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
CN109743163A (zh) * | 2019-01-03 | 2019-05-10 | 优信拍(北京)信息科技有限公司 | 微服务架构中的权限认证方法、装置及系统 |
CN109802835A (zh) * | 2019-01-25 | 2019-05-24 | 北京中电普华信息技术有限公司 | 一种安全认证方法、系统及api网关 |
CN110086822A (zh) * | 2019-05-07 | 2019-08-02 | 北京智芯微电子科技有限公司 | 面向微服务架构的统一身份认证策略的实现方法及系统 |
US20190342397A1 (en) * | 2018-05-04 | 2019-11-07 | Benjamin William Laibson | Emulation of cloud computing service regions |
-
2019
- 2019-12-17 CN CN201911306786.9A patent/CN111010396A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562621A (zh) * | 2009-05-25 | 2009-10-21 | 阿里巴巴集团控股有限公司 | 一种用户授权的方法、系统和装置 |
US20190342397A1 (en) * | 2018-05-04 | 2019-11-07 | Benjamin William Laibson | Emulation of cloud computing service regions |
CN108924125A (zh) * | 2018-06-29 | 2018-11-30 | 招银云创(深圳)信息技术有限公司 | 接口调用权限的控制方法、装置、计算机设备和存储介质 |
CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
CN109743163A (zh) * | 2019-01-03 | 2019-05-10 | 优信拍(北京)信息科技有限公司 | 微服务架构中的权限认证方法、装置及系统 |
CN109802835A (zh) * | 2019-01-25 | 2019-05-24 | 北京中电普华信息技术有限公司 | 一种安全认证方法、系统及api网关 |
CN110086822A (zh) * | 2019-05-07 | 2019-08-02 | 北京智芯微电子科技有限公司 | 面向微服务架构的统一身份认证策略的实现方法及系统 |
Non-Patent Citations (1)
Title |
---|
王孝宁: "基于微服务架构的敏捷开发平台安全机制的设计与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112818325A (zh) * | 2021-01-30 | 2021-05-18 | 浪潮云信息技术股份公司 | 一种基于应用实现api网关独立鉴权的方法 |
CN113259386A (zh) * | 2021-06-21 | 2021-08-13 | 易纳购科技(北京)有限公司 | 恶意请求拦截方法、装置及计算机设备 |
CN115086048A (zh) * | 2022-06-20 | 2022-09-20 | 中电金信软件有限公司 | 数据处理方法、装置、电子设备及可读存储介质 |
CN115086048B (zh) * | 2022-06-20 | 2023-12-15 | 中电金信软件有限公司 | 数据处理方法、装置、电子设备及可读存储介质 |
CN115374415A (zh) * | 2022-10-24 | 2022-11-22 | 中教云智数字科技有限公司 | 一种基于SpringBoot的轻量级权限认证方法及框架 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11038873B2 (en) | Time-based one time password (TOTP) for network authentication | |
CN112765639B (zh) | 基于零信任访问策略的安全微服务架构及实现方法 | |
JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
CN111010396A (zh) | 一种互联网身份认证管理方法 | |
CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
US9621341B2 (en) | Anonymous verifiable public key certificates | |
CN109587101B (zh) | 一种数字证书管理方法、装置及存储介质 | |
CN102457509B (zh) | 云计算资源安全访问方法、装置及系统 | |
CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
CN103220141B (zh) | 一种基于组密钥策略的敏感数据保护方法和系统 | |
CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
CN111447220B (zh) | 认证信息管理方法、应用系统的服务端及计算机存储介质 | |
US11943345B2 (en) | Key management method and related device | |
CN106850612A (zh) | 一种面向云化系统的密码管理方法及系统 | |
JP2020535530A (ja) | リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体 | |
EP3062254B1 (en) | License management for device management system | |
Chae et al. | A study on secure user authentication and authorization in OAuth protocol | |
CN108449364A (zh) | 一种分布式身份认证方法及云认证节点 | |
CN106302425B (zh) | 一种虚拟化系统节点间通信方法及其虚拟化系统 | |
CN113194077A (zh) | 登录方法及装置、计算机设备及计算机可读存储介质 | |
CN109802927A (zh) | 一种安全服务提供方法及装置 | |
KR102355708B1 (ko) | 블록체인 키를 이용한 사용자 인증 기반의 요청 처리 방법, 그 방법이 적용된 시스템 | |
CN114301634A (zh) | 一种基于Oauth协议的门户系统用户共享方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200414 |